我目前正在使用以下内容来哈希密码:
var pass_shasum = crypto.createHash('sha256').update(req.body.password).digest('hex');
您能否提出改进建议以使项目更安全?
我使用以下代码对密码进行加盐和哈希处理。
var bcrypt = require('bcrypt');
exports.cryptPassword = function(password, callback) {
bcrypt.genSalt(10, function(err, salt) {
if (err)
return callback(err);
bcrypt.hash(password, salt, function(err, hash) {
return callback(err, hash);
});
});
};
exports.comparePassword = function(plainPass, hashword, callback) {
bcrypt.compare(plainPass, hashword, function(err, isPasswordMatch) {
return err == null ?
callback(null, isPasswordMatch) :
callback(err);
});
};
bcrypt 也可以同步调用。 示例咖啡脚本:
bcrypt = require('bcrypt')
encryptionUtil =
encryptPassword: (password, salt) ->
salt ?= bcrypt.genSaltSync()
encryptedPassword = bcrypt.hashSync(password, salt)
{salt, encryptedPassword}
comparePassword: (password, salt, encryptedPasswordToCompareTo) ->
{encryptedPassword} = @encryptPassword(password, salt)
encryptedPassword == encryptedPasswordToCompareTo
module.exports = encryptionUtil
使用打字稿进行bcrypt
npm i bcrypt npm i -D @types/bcrypt
import * as bcrypt from 'bcrypt';
export const Encrypt = {
cryptPassword: (password: string) =>
bcrypt.genSalt(10)
.then((salt => bcrypt.hash(password, salt)))
.then(hash => hash),
comparePassword: (password: string, hashPassword: string) =>
bcrypt.compare(password, hashPassword)
.then(resp => resp)
}
示例:加密
const myEncryptPassword = await Encrypt.cryptPassword(password);
示例:比较
const myBoolean = await Encrypt.comparePassword(password, passwordHash);
还有用于节点的 bcrypt-nodejs 模块。 https://github.com/shaneGirish/bcrypt-nodejs。
之前我使用过这里已经提到的bcrypt模块,但是在win7 x64上遇到问题。另一方面,bcrypt-nodejs 是 bcrypt 的纯 JS 实现,根本没有任何依赖关系。
您可以使用 bcrypt-js 包对密码进行加密。
bcrypt.genSalt(10, function(err, salt) {
bcrypt.hash("B4c0/\/", salt, function(err, hash) {
// Store hash in your password DB.
});
});
// Load hash from your password DB.
bcrypt.compare("B4c0/\/", hash, function(err, res) {
// res === true
});
您可以访问 https://www.npmjs.com/package/bcryptjs 了解有关 bcryptjs 的更多信息。
尝试使用 Bcrypt,它使用哈希来保护密码。
bcrypt.hash(req.body.password, salt, (err, encrypted) => {
user.password = encrypted
next()
})
其中 salt 是指定哈希强度的成本值。 登录时,使用 bcrypt.compare 方法比较密码:
bcrypt.compare(password, user.password, (err, same) => {
if (same) {
req.session.userId = user._id
res.redirect('/bloglist')
} else {
res.end('pass wrong')
}
})
有关更多信息,请参阅此博客:https://medium.com/@nitinmanocha16/bcrypt-and-nodejs-e00a0d1df91f
Bcrypt 不是一个糟糕的选择,但是有一些陷阱:
NUL截至 2019 年 10 月,Argon2id 是最佳选择。
与 Argon2id 交互的首选方式是通过 libsodium(一个提供大量功能的密码学库)。有多种绑定可供选择,但最简单的可能是sodium-plus。
const SodiumPlus = require('sodium-plus').SodiumPlus;
let sodium;
(async function(){
if (!sodium) sodium = await SodiumPlus.auto(); // Autoload the backend
let password = 'Your example password goes here. Provided by the user.';
// Hashing...
let hash = await sodium.crypto_pwhash_str(
password,
sodium.CRYPTO_PWHASH_OPSLIMIT_INTERACTIVE,
sodium.CRYPTO_PWHASH_MEMLIMIT_INTERACTIVE
);
// You can safely store {hash} in a database.
// Checking that a stored hash is still up to snuff...
let stale = await sodium.crypto_pwhash_str_needs_rehash(
hash,
sodium.CRYPTO_PWHASH_OPSLIMIT_INTERACTIVE,
sodium.CRYPTO_PWHASH_MEMLIMIT_INTERACTIVE
);
if (stale) {
// Rehash password, update database
}
// Password verification
let valid = await sodium.crypto_pwhash_str_verify(password, hash);
if (valid) {
// Proceed...
}
})();
Github 上的sodium-plus文档包括密码哈希和存储。
对于 TypeScript,您可以使用:
import { pbkdf2 } from "crypto";
export async function password2key(password: string): Promise<string> {
return new Promise<string>( (resolve, reject) => {
pbkdf2(password, config.passwordSalt, 10000, 64, 'sha512', (err, key) => {
if (err) reject(err);
else resolve(key.toString('base64'));
});
})
}
const bcrypt = require("bcrypt")
userSchema.pre("save", async function (next) {
const salt = await bcrypt.genSalt(10);
this.password = await bcrypt.hash(this.password, salt)
next()
})