使用Node.js和MongoDB存储密码

作者：贴进你的心聆听你的世界 | 2023-06-21 12:09

如何解决《使用Node.js和MongoDB存储密码》经验，为你挑选了2个好方法。

我正在寻找一些如何使用node.js和mongodb安全地存储密码和其他敏感数据的示例.

我希望一切都使用一个独特的盐,我将存储在mongo文档中的哈希旁边.

对于身份验证,我是否只需对输入进行加密和加密,并将其与存储的哈希相匹配？

我是否需要解密此数据？如果需要,我应该如何解决？

如何将私钥,甚至salting方法安全地存储在服务器上？

我听说AES和Blowfish都是不错的选择,我该怎么用？

任何如何设计这个的例子都会非常有用!

谢谢!

1> Peter Lyons..：

使用此:https://github.com/ncb000gt/node.bcrypt.js/

bcrypt是专注于此用例的少数几种算法之一.您永远不能解密密码,只能验证用户输入的明文密码是否与存储/加密的哈希匹配.

bcrypt非常简单易用.这是我的Mongoose User架构的一个片段(在CoffeeScript中).一定要使用async函数,因为bycrypt很慢(故意).

class User extends SharedUser
  defaults: _.extend {domainId: null}, SharedUser::defaults

  #Irrelevant bits trimmed...

  password: (cleartext, confirm, callback) ->
    errorInfo = new errors.InvalidData()
    if cleartext != confirm
      errorInfo.message = 'please type the same password twice'
      errorInfo.errors.confirmPassword = 'must match the password'
      return callback errorInfo
    message = min4 cleartext
    if message
      errorInfo.message = message
      errorInfo.errors.password = message
      return callback errorInfo
    self = this
    bcrypt.gen_salt 10, (error, salt)->
      if error
        errorInfo = new errors.InternalError error.message
        return callback errorInfo
      bcrypt.encrypt cleartext, salt, (error, hash)->
        if error
          errorInfo = new errors.InternalError error.message
          return callback errorInfo
        self.attributes.bcryptedPassword = hash
        return callback()

  verifyPassword: (cleartext, callback) ->
    bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)->
      if error
        return callback(new errors.InternalError(error.message))
      callback null, result

另外,阅读这篇文章,这应该说服你bcrypt是一个很好的选择,并帮助你避免变得"真正和真正有效".

你错过了这一点.关键是如果攻击者窃取了你的密码哈希数据库,那么攻击者在他们的系统上运行bcrypt的速度很慢,并且没有办法解决这个问题,因为工作因素内置于算法本身.SHA-256加人工延迟是A)使用通用哈希算法和B)不保护您免受脱机密码哈希的脱机破解.

2> chovy..：

这是我迄今为止遇到的最好的例子,使用node.bcrypt.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt

推荐阅读

程序员
Perl序列化对字符串的嵌套引用

如何解决《Perl序列化对字符串的嵌套引用》经验，为你挑选了1个好方法。 ... [详细]
程序员
如何为跟踪鼠标移动的动画添加惯性？

如何解决《如何为跟踪鼠标移动的动画添加惯性？》经验，为你挑选了1个好方法。 ... [详细]
程序员
在OpenXML(excel)中创建自定义列宽

如何解决《在OpenXML(excel)中创建自定义列宽》经验，为你挑选了2个好方法。 ... [详细]
程序员
在egrep中使用"[]"获得奇特的结果,但在Linux中使用"\"(转义序列)

如何解决《在egrep中使用"[]"获得奇特的结果,但在Linux中使用"\"(转义序列)》经验，为你挑选了1个好方法。 ... [详细]
程序员
淡化页面过渡到锚点

如何解决《淡化页面过渡到锚点》经验，为你挑选了0个好方法。 ... [详细]
程序员
Firebase - 如何编写多个orderByChild来提取数据？

如何解决《Firebase-如何编写多个orderByChild来提取数据？》经验，为你挑选了2个好方法。 ... [详细]
程序员
C# - 传递自身对象的继承方法

如何解决《C#-传递自身对象的继承方法》经验，为你挑选了1个好方法。 ... [详细]
程序员
使用ImageView自定义绘图

如何解决《使用ImageView自定义绘图》经验，为你挑选了0个好方法。 ... [详细]
程序员
Pandas,如何从系列中的所有值中减去第一行值？

如何解决《Pandas,如何从系列中的所有值中减去第一行值？》经验，为你挑选了1个好方法。 ... [详细]
程序员
在JS中使用这个或新的？

如何解决《在JS中使用这个或新的？》经验，为你挑选了0个好方法。 ... [详细]
程序员
为什么使用awk的数组输出不正确？

如何解决《为什么使用awk的数组输出不正确？》经验，为你挑选了1个好方法。 ... [详细]
程序员
Laravel用户功能

如何解决《Laravel用户功能》经验，为你挑选了2个好方法。 ... [详细]
程序员
MySQL - 如何在查询中添加"使用连接缓冲区(块嵌套循环)"？

如何解决《MySQL-如何在查询中添加"使用连接缓冲区(块嵌套循环)"？》经验，为你挑选了2个好方法。 ... [详细]
程序员
平均数的计算通向高位.我不明白为什么？

如何解决《平均数的计算通向高位.我不明白为什么？》经验，为你挑选了1个好方法。 ... [详细]
程序员
如何有效地为我的Android应用程序实现MVVM设计模式,这也将简化测试用例的编写？

如何解决《如何有效地为我的Android应用程序实现MVVM设计模式,这也将简化测试用例的编写？》经验，为你挑选了1个好方法。 ... [详细]
程序员
为什么使用Take()似乎可以加速我的EF查询？

如何解决《为什么使用Take()似乎可以加速我的EF查询？》经验，为你挑选了1个好方法。 ... [详细]
程序员
Unity3D C#负Lerp？

如何解决《Unity3DC#负Lerp？》经验，为你挑选了1个好方法。 ... [详细]
程序员
包含中的数据类型错误

如何解决《包含中的数据类型错误》经验，为你挑选了1个好方法。 ... [详细]
程序员
Spark:更高效的聚合以连接来自不同行的字符串

如何解决《Spark:更高效的聚合以连接来自不同行的字符串》经验，为你挑选了0个好方法。 ... [详细]
程序员
Python的matplotlib.pyplot.quiver如何正常工作？

如何解决《Python的matplotlib.pyplot.quiver如何正常工作？》经验，为你挑选了1个好方法。 ... [详细]

贴进你的心聆听你的世界

这个屌丝很懒，什么也没留下！

关注作者

Tags | 热门标签

RankList | 热门文章