投稿获客
广告
广告 广告 广告
广告 广告 广告 广告
广告 █ 推荐【菠萝云】香港16G内存99元 【CDNCloud】极速、安全可靠的加速体验 广告位联系QQ:253000106 【UStat】免费网站统计平台 SSL证书低至2折 单域名36元起 免费测试!海总一手APK免杀处理 广告位联系QQ:253000106 CDN 服务器 反炸 劫持 域名屏蔽 【UStat】专业网站统计平台 域名注册:海量域名快速注册 安卓免杀 谷歌报毒 封装 苹果签名 广告位联系QQ:253000106 【域名被劫持污染如何处理】 安卓免杀★超级签★封装★谷歌屏蔽 广告位联系QQ:253000106

*本站广告为第三方投放,如发生纠纷,请向本站索取第三方联系方式沟通

  1. 创想鸟首页
  2. 好文分享

深入理解Node.js中bcryptjs进行密码哈希与验证

程序猿 好文分享 阅读 0

深入理解node.js中bcryptjs进行密码哈希与验证

本文旨在解决Node.js应用中,使用bcrypt库进行密码哈希存储与用户输入密码验证时可能遇到的兼容性问题,并推荐使用纯JavaScript实现的bcryptjs库作为替代方案。通过详细的教程和代码示例,文章将指导开发者如何在注册和登录流程中安全、高效地实现密码的哈希与比对,确保用户认证的稳定性和安全性。

1. 密码安全的重要性与哈希原理

在现代Web应用中,用户密码的安全性至关重要。直接存储明文密码是极其危险的做法,一旦数据库泄露,所有用户账户都将面临风险。为了解决这一问题,我们通常采用密码哈希(Hashing)技术。密码哈希是将原始密码通过单向加密算法转换为一串固定长度的、不可逆的字符串。每次用户注册时,我们存储的是密码的哈希值而非明文;用户登录时,则将用户输入的密码进行哈希,然后与数据库中存储的哈希值进行比对。

bcrypt是一种流行的密码哈希算法,以其计算成本高(抗暴力破解)和内置盐值(Salt)而闻名。盐值是一个随机字符串,与密码一起进行哈希,确保即使两个用户设置了相同的密码,其哈希值也不同,从而有效抵御彩虹表攻击。

2. bcrypt与bcryptjs的选择:兼容性考量

在Node.js生态中,有两个主要的库用于实现bcrypt算法:

bcrypt: 这是一个Node.js原生插件,通常性能更优,因为它使用C++实现。然而,原生模块在不同操作系统、Node.js版本或编译环境下可能遇到兼容性问题,例如常见的“Cannot find module napi-v3/bcrypt_lib.node”错误,这会导致模块加载失败,进而影响密码的哈希和比对功能。bcryptjs: 这是一个纯JavaScript实现的bcrypt库,与bcrypt API兼容。由于它是纯JavaScript,因此避免了原生模块可能带来的兼容性问题,在大多数环境中都能稳定运行,是跨平台部署的更稳健选择。

考虑到兼容性和部署的便捷性,我们强烈推荐在Node.js应用中使用bcryptjs进行密码处理。

3. 安装bcryptjs

首先,需要在你的项目中安装bcryptjs库:

npm install bcryptjs

4. 实现用户注册(密码哈希)

在用户注册时,我们需要获取用户提供的明文密码,对其进行加盐哈希处理,然后将哈希后的密码存储到数据库中。

const express = require('express');const bcrypt = require('bcryptjs'); // 引入 bcryptjsconst jwt = require('jsonwebtoken');const mongoose = require('mongoose');const cors = require('cors');const secretKey = 'your-secret-key'; // 替换为你的JWT密钥const app = express();app.use(cors());app.use(express.json());// MongoDB connection URIconst uri = 'mongodb://localhost:27017/final-year-project';// Connect to the MongoDB databasemongoose  .connect(uri, { useNewUrlParser: true, useUnifiedTopology: true })  .then(() => {    console.log('Connected to the database');    app.listen(3000);    console.log('app connected on port 3000');  })  .catch((error) => {    console.error('Failed to connect to the database:', error);  });// Define the user schemaconst userSchema = new mongoose.Schema({  firstName: { type: String, required: true },  lastName: { type: String, required: true },  email: { type: String, required: true, unique: true },  role: { type: String, required: true },  password: { type: String, required: true },}, { collection: 'users' });// Define the user modelconst User = mongoose.model('User', userSchema);class AuthResponseData {  constructor(user) {    this.user = user;  }}// Signup endpointapp.post('/signup', async (req, res) => {  try {    const { firstName, lastName, email, role, password } = req.body;    const existingUser = await User.findOne({ email });    if (existingUser) {      return res.status(400).json({ message: 'Email already exists' });    }    let plainTextPassword = password;    if (!plainTextPassword) {      plainTextPassword = 'defaultPassword123'; // 建议在实际应用中避免设置默认密码    }    // 使用 bcryptjs 进行密码哈希    // genSaltSync(10) 生成盐值,10是盐值轮数,影响哈希强度和计算时间    const hashedPassword = await bcrypt.hash(plainTextPassword, 10);     const newUser = new User({      firstName,      lastName,      email,      role,      password: hashedPassword, // 存储哈希后的密码    });    await newUser.save();    const token = jwt.sign({ email: newUser.email }, secretKey, { expiresIn: '1h' }); // 设置JWT过期时间    const expirationDate = new Date().getTime() + 3600000;    const user = {      firstName: newUser.firstName,      lastName: newUser.lastName,      email: newUser.email,      role: newUser.role,      id: newUser._id,      _token: token,      _tokenExpirationDate: expirationDate,    };    const authResponse = new AuthResponseData(user);    res.status(201).json(authResponse);  } catch (error) {    console.error('Signup error:', error);    res.status(500).json({ message: 'Internal server error' });  }});

代码解析:

bcrypt.hash(plainTextPassword, 10):这是bcryptjs的核心方法。它接收两个参数:明文密码和盐值轮数(或一个已生成的盐值)。轮数越高,哈希过程越慢,安全性越高,但也会增加服务器负载。通常建议使用10到12。这个方法是异步的,返回一个Promise,所以我们使用await来等待哈希完成。我们将生成的hashedPassword存储到数据库的password字段中。

5. 实现用户登录(密码比对)

在用户登录时,我们需要从数据库中获取存储的哈希密码,然后将用户输入的明文密码与这个哈希密码进行比对。

// Login endpointapp.post('/login', async (req, res) => {  try {    const { email, password } = req.body;    // 1. 查找用户    const user = await User.findOne({ email });    if (!user) {      return res.status(401).json({ message: 'Invalid email or password' });    }    // 2. 比对密码    // bcrypt.compare(plainTextPassword, hashedPasswordFromDb)    const passwordMatch = await bcrypt.compare(password, user.password);    if (!passwordMatch) {      return res.status(401).json({ message: 'Invalid email or password' });    }    // 3. 生成JWT并返回认证信息    const token = jwt.sign({ email: user.email }, secretKey, { expiresIn: '1h' });    const expirationDate = new Date().getTime() + 3600000;    const loggedInUser = {      firstName: user.firstName,      lastName: user.lastName,      email: user.email,      role: user.role,      id: user._id,      _token: token,      _tokenExpirationDate: expirationDate,    };    const authResponse = new AuthResponseData(loggedInUser);    res.status(200).json(authResponse);  } catch (error) {    console.error('Login error:', error);    res.status(500).json({ message: 'Internal server error' });  }});

代码解析:

bcrypt.compare(password, user.password):这是bcryptjs用于比对密码的核心方法。它接收两个参数:用户输入的明文密码和从数据库中取出的哈希密码。它会自动提取哈希密码中的盐值,并使用该盐值对明文密码进行哈希,然后比对两个哈希值是否一致。这个方法也是异步的,返回一个Promise,所以我们使用await来等待比对结果。如果passwordMatch为true,则表示密码正确,用户可以登录;否则,密码不匹配。

6. 注意事项与最佳实践

错误处理: 在实际应用中,务必对bcrypt.hash和bcrypt.compare可能抛出的错误进行捕获和处理,以防止应用崩溃并向用户返回友好的错误信息。盐值轮数: 选择合适的盐值轮数(cost factor)很重要。轮数越高,安全性越强,但哈希计算所需的时间也越长。通常,10到12是一个很好的平衡点。随着硬件性能的提升,可能需要逐渐增加轮数。异步操作: bcryptjs的hash和compare方法都是异步的。在Node.js环境中,应始终使用它们的异步版本(通过回调函数或Promise/async/await),以避免阻塞事件循环,影响服务器性能。JWT密钥安全: secretKey用于签署和验证JWT,必须妥善保管,不能硬编码在代码中。建议从环境变量中读取,并确保其足够复杂和随机。默认密码: 在注册流程中,避免为用户设置默认密码。如果用户未提供密码,应提示其输入或拒绝注册请求。

总结

通过使用bcryptjs库,我们能够安全、可靠地在Node.js应用中实现密码的哈希存储与验证。bcryptjs作为纯JavaScript实现,有效规避了原生bcrypt库可能带来的兼容性问题,为开发者提供了一个稳定且易于集成的解决方案。遵循上述教程和最佳实践,可以显著提升Web应用的用户认证安全性。

以上就是深入理解Node.js中bcryptjs进行密码哈希与验证的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1522874.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月20日 15:25:40
下一篇 2025年12月20日 15:25:50

相关推荐

  • Bear 博客上的浅色/深色模式分步指南 好文分享

    Bear 博客上的浅色/深色模式分步指南

    我最近使用偏好颜色方案媒体功能与 light-dark() 颜色函数相结合,在我的 bear 博客上实现了亮/暗模式切换。 我是这样做的。 第 1 步:设置 css css 在过去几年中获得了一些很酷的新功能,包括 light-dark() 颜色函数。此功能可让您为任何元素指定两种颜色 &#8211…

    程序猿的头像 程序猿
    2025年12月24日
    100
  • 如何在 Web 开发中检测浏览器中的操作系统暗模式? 好文分享

    如何在 Web 开发中检测浏览器中的操作系统暗模式?

    检测浏览器中的操作系统暗模式 在 web 开发中,用户界面适应操作系统(os)的暗模式设置变得越来越重要。本文将重点介绍检测浏览器中 os 暗模式的方法,从而使网站能够针对不同模式调整其设计。 w3c media queries level 5 最新的 web 标准引入了 prefers-color…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 如何使用 CSS 检测操作系统是否处于暗模式? 好文分享

    如何使用 CSS 检测操作系统是否处于暗模式?

    如何在浏览器中检测操作系统是否处于暗模式? 新发布的 os x 暗模式提供了在 mac 电脑上使用更具沉浸感的用户界面,但我们很多人都想知道如何在浏览器中检测这种设置。 新标准 检测操作系统暗模式的解决方案出现在 w3c media queries level 5 中的最新标准中: 立即学习“前端免…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 如何检测浏览器环境中的操作系统暗模式? 好文分享

    如何检测浏览器环境中的操作系统暗模式?

    浏览器环境中的操作系统暗模式检测 在如今科技的海洋中,越来越多的设备和软件支持暗模式,以减少对眼睛的刺激并营造更舒适的视觉体验。然而,在浏览器环境中检测操作系统是否处于暗模式却是一个令人好奇的问题。 检测暗模式的标准 要检测操作系统在浏览器中是否处于暗模式,web 开发人员可以使用 w3c 的媒体查…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 浏览器中如何检测操作系统的暗模式设置? 好文分享

    浏览器中如何检测操作系统的暗模式设置?

    浏览器中的操作系统暗模式检测 近年来,随着用户对夜间浏览体验的偏好不断提高,操作系统已开始引入暗模式功能。作为一名 web 开发人员,您可能想知道如何检测浏览器中操作系统的暗模式状态,以相应地调整您网站的设计。 新 media queries 水平 w3c 的 media queries level…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 我在学习编程的第一周学到的工具 好文分享

    我在学习编程的第一周学到的工具

    作为一个刚刚完成中学教育的女孩和一个精通技术并热衷于解决问题的人,几周前我开始了我的编程之旅。我的名字是OKESANJO FATHIA OPEYEMI。我很高兴能分享我在编码世界中的经验和发现。拥有计算机科学背景的我一直对编程提供的无限可能性着迷。在这篇文章中,我将反思我在学习编程的第一周中获得的关…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 为什么多年的经验让我选择全栈而不是平均栈 好文分享

    为什么多年的经验让我选择全栈而不是平均栈

    在全栈和平均栈开发方面工作了 6 年多,我可以告诉您,虽然这两种方法都是流行且有效的方法,但它们满足不同的需求,并且有自己的优点和缺点。这两个堆栈都可以帮助您创建 Web 应用程序,但它们的实现方式却截然不同。如果您在两者之间难以选择,我希望我在两者之间的经验能给您一些有用的见解。 在这篇文章中,我…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 深入理解CSS框架与JS之间的关系 好文分享

    深入理解CSS框架与JS之间的关系

    深入理解CSS框架与JS之间的关系 在现代web开发中,CSS框架和JavaScript (JS) 是两个常用的工具。CSS框架通过提供一系列样式和布局选项,可以帮助我们快速构建美观的网页。而JS则提供了一套功能强大的脚本语言,可以为网页添加交互和动态效果。本文将深入探讨CSS框架和JS之间的关系,…

    程序猿的头像 程序猿
    2025年12月24日
    000
  • 项目实践:如何结合CSS和JavaScript打造优秀网页的经验总结 好文分享

    项目实践:如何结合CSS和JavaScript打造优秀网页的经验总结

    项目实践:如何结合CSS和JavaScript打造优秀网页的经验总结 随着互联网的快速发展,网页设计已经成为了各行各业都离不开的一项技能。优秀的网页设计可以给用户留下深刻的印象,提升用户体验,增加用户的黏性和转化率。而要做出优秀的网页设计,除了对美学的理解和创意的运用外,还需要掌握一些基本的技能,如…

    程序猿的头像 程序猿
    2025年12月24日
    200
  • 学完HTML和CSS之后我应该做什么? 好文分享

    学完HTML和CSS之后我应该做什么?

    网页开发是一段漫长的旅程,但是掌握了HTML和CSS技能意味着你已经赢得了一半的战斗。这两种语言对于学习网页开发技能来说非常重要和基础。现在不可或缺的是下一个问题,学完HTML和CSS之后我该做什么呢? 对这些问题的答案可以分为2-3个部分,你可以继续练习你的HTML和CSS编码,然后了解在学习完H…

    程序猿的头像 程序猿
    2025年12月24日
    000

  • 聊聊怎么利用CSS实现波浪进度条效果

    本篇文章给大家分享css 高阶技巧,介绍一下如何使用css实现波浪进度条效果,希望对大家有所帮助! 本文是 CSS Houdini 之 CSS Painting API 系列第三篇。 现代 CSS 之高阶图片渐隐消失术现代 CSS 高阶技巧,像 Canvas 一样自由绘图构建样式! 在上两篇中,我们…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    200

  • 巧用距离、角度及光影制作炫酷的 3D 文字特效

    如何利用 css 实现3d立体的数字?下面本篇文章就带大家巧用视觉障眼法,构建不一样的 3d 文字特效,希望对大家有所帮助! 最近群里有这样一个有意思的问题,大家在讨论,使用 CSS 3D 能否实现如下所示的效果: 这里的核心难点在于,如何利用 CSS 实现一个立体的数字?CSS 能做到吗? 不是特…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000

  • CSS高阶技巧:实现图片渐隐消的多种方法

    将专注于实现复杂布局,兼容设备差异,制作酷炫动画,制作复杂交互,提升可访问性及构建奇思妙想效果等方面的内容。 在兼顾基础概述的同时,注重对技巧的挖掘,结合实际进行运用,欢迎大家关注。 正文从这里开始。 在过往,我们想要实现一个图片的渐隐消失。最常见的莫过于整体透明度的变化,像是这样: 立即学习“前端…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000
  • css实现登录按钮炫酷效果(附代码实例) 好文分享

    css实现登录按钮炫酷效果(附代码实例)

    今天在网上看到一个炫酷的登录按钮效果;初看时感觉好牛掰;但是一点一点的抛开以后发现,并没有那么难;我会将全部代码贴出来;如果有不对的地方,大家指点一哈。 分析 我们抛开before不谈的话;其实原理和就是通过背景大小以及配合位置达到颜色渐变的效果。 text-transform: uppercase…

    程序猿的头像 程序猿
    2025年12月24日
    000

  • CSS flex布局属性:align-items和align-content的区别

    在用flex布局时,发现有两个属性功能好像有点类似:align-items和align-content,乍看之下,它们都是用于定义flex容器中元素在交叉轴(主轴为flex-deriction定义的方向,默认为row,那么交叉轴跟主轴垂直即为column,反之它们互调,flex基本的概念如下图所示)…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000

  • 手把手教你用 transition 实现短视频 APP的点赞动画

    怎么使用纯 css 实现有趣的点赞动画?下面本篇文章就带大家了解一下巧妙借助 transition实现点赞动画的方法,希望对大家有所帮助! 在各种短视频界面上,我们经常会看到类似这样的点赞动画: 非常的有意思,有意思的交互会让用户更愿意进行互动。 那么,这么有趣的点赞动画,有没有可能使用纯 CSS …

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000

  • 巧用CSS实现各种奇形怪状按钮(附代码)

    本篇文章带大家看看怎么使用 CSS 轻松实现高频出现的各类奇形怪状按钮,希望对大家有所帮助! 怎么样使用 CSS 实现一个内切角按钮呢、怎么样实现一个带箭头的按钮呢? 本文基于一些高频出现在设计稿中的,使用 css 实现稍微有点难度和技巧性的按钮,讲解使用 css 如何尽可能的实现它们。【推荐学习:…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000

  • 原来利用纯CSS也能实现文字轮播与图片轮播!

    怎么制作文字轮播与图片轮播?大家第一想到的是不是利用js,其实利用纯css也能实现文字轮播与图片轮播,下面来看看实现方法,希望对大家有所帮助! 今天,分享一个实际业务中能够用得上的动画技巧。【推荐学习:css视频教程】 巧用逐帧动画,配合补间动画实现一个无限循环的轮播效果,像是这样: 立即学习“前端…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    000

  • HTML+CSS+JS实现雪花飘扬(代码分享)

    使用html+css+js如何实现下雪特效?下面本篇文章给大家分享一个html+css+js实现雪花飘扬的示例,希望对大家有所帮助。 很多南方的小伙伴可能没怎么见过或者从来没见过下雪,今天我给大家带来一个小Demo,模拟了下雪场景,首先让我们看一下运行效果 可以点击看看在线运行:http://hai…

    程序猿的头像 程序猿
    2025年12月24日 好文分享
    500
  • 总结整理:需要避坑的五大常见css错误(收藏) 好文分享

    总结整理:需要避坑的五大常见css错误(收藏)

    本篇文章给大家总结5个最常见的css错误,并介绍一下避坑方法,希望对大家有所帮助! 正如我们今天所知,CSS语言是web的一个重要组成部分。它使我们有能力绘制元素在屏幕、网页或其他媒体中的展示方式。 它简单、强大,而且是声明式的。我们可以很容易地实现复杂的事情,如暗黑/光明模式。然而,对它有很多误解…

    程序猿的头像 程序猿
    2025年12月24日
    000

发表回复

登录后才能评论
关注微信