password_needs_rehash をいつ、どのように使用するかについて混乱しています。私の思考過程をご紹介します。
password_hash($password, PASSWORD_DEFAULT) を使用して、ユーザーのパスワードをハッシュし、ユーザー データベースに保存しました。次に、ユーザーのログインを許可し、プロセスのある時点でコントローラーが password_verify($password, $hashedPassword) を呼び出して、ユーザーを検証します。この関数は、ハッシュされたパスワードで使用されているアルゴリズムに基づいて、指定されたパスワードをハッシュすると想定しています。
これが私の本当の質問です。デフォルトのアルゴリズムが変更された場合、いつ password_needs_rehash() 関数を呼び出す必要がありますか? ユーザーがログインした後、ユーザーがダッシュボードにリダイレクトされる前に、コントローラーから呼び出す必要がありますか?