古いLaravelアプリをLaravel 11に（考えなしに）アップデートしたらユーザーパスワードが吹っ飛んだ

Laravel 11ではパスワードのハッシュ要件が変わった場合、ログイン時に自動的に再ハッシュする機能が備わっており、デフォルトで有効。
https://laravel.com/docs/11.x/upgrade#password-rehashing

ドキュメントの通り、通常は問題ないはずだが古いプロジェクトをアップデートする際、条件によってはログイン時にパスワードが二重にハッシュ化され破損する恐れがあった。

TL;DR

以下のような古く（そして問題がある）パスワードハッシュ機構がモデルにある場合は注意が必要。
昔のネット記事だとわりとヒットすることが多かった。

    public function setPasswordAttribute($value)
    {
        $this->attributes['password'] = Hash::make($value);
    }

先ほど述べたようにLaravel 11ではAuth::attempt()時にパスワード再ハッシュが必要かチェックして必要な場合にパスワードを再ハッシュする。
https://github.com/laravel/framework/blob/ecb3fa799a9a221ea1ec6ebc06c8e87afda74ab3/src/Illuminate/Auth/SessionGuard.php#L399

そしてその条件となるbcryptのラウンド数のデフォルト値がLaravel 10で12に引き上げられている。
https://github.com/laravel/framework/blob/ecb3fa799a9a221ea1ec6ebc06c8e87afda74ab3/src/Illuminate/Hashing/BcryptHasher.php#L88-L93

https://github.com/laravel/framework/blob/ecb3fa799a9a221ea1ec6ebc06c8e87afda74ab3/src/Illuminate/Hashing/BcryptHasher.php#L156-L159

Laravel 9以前

https://github.com/laravel/framework/blob/dc2e925b2d75fc2673a5919c7ad727d68059c08e/src/Illuminate/Hashing/BcryptHasher.php#L15

Lavavel 10

https://github.com/laravel/framework/blob/05a9554ac0c7361504a54e350787aba84d028ce7/src/Illuminate/Hashing/BcryptHasher.php#L15

そのため再ハッシュが実行されるのだが、この際にハッシュ化済みの値がfillされる。
https://github.com/laravel/framework/blob/ecb3fa799a9a221ea1ec6ebc06c8e87afda74ab3/src/Illuminate/Auth/EloquentUserProvider.php#L166-L175

上記のsetPasswordAttributeの実装では既にハッシュ化された値かどうかのチェックがないため、二重にハッシュ化されてしまう。
結果として元のパスワードでログインできなくなり、おそらく復号も困難な状態に陥ってしまう。

    public function setPasswordAttribute($value)
    {
        if (Hash::isHashed($value)) {
            $this->attributes['password'] = $value;
            return;
        }
        $this->attributes['password'] = Hash::make($value);
    }

のように既にハッシュされていればそのままにするように修正するか、Laravel 10以降で使用できるhashedキャストを使うのが良いだろう。

    protected $casts = [
        'password' => 'hashed',
    ];