安全地比较存储的哈希密码与用户输入密码的指南

程序猿 • 2025年12月20日 15:37:49 • 好文分享 • 阅读 1

本文详细介绍了在Node.js应用中如何安全有效地比较存储的哈希密码与用户输入的密码。针对bcrypt库可能遇到的兼容性问题，文章推荐使用纯JavaScript实现的bcryptjs库，并提供了详细的安装、注册（哈希）和登录（比较）的代码示例，旨在帮助开发者构建更稳定可靠的用户认证系统。

引言：密码安全存储与验证的重要性

在任何用户认证系统中，密码的安全存储和验证是至关重要的。直接存储明文密码是极不安全的行为，一旦数据库泄露，所有用户密码将面临风险。因此，业界普遍采用哈希算法对密码进行单向加密存储。当用户尝试登录时，系统会对其输入的密码进行相同的哈希处理，然后将结果与数据库中存储的哈希值进行比较。

bcrypt是Node.js环境中常用的密码哈希库，以其计算成本高、抗彩虹表攻击能力强而闻名。然而，由于bcrypt依赖于C++插件，在某些环境下可能会出现编译或兼容性问题，导致诸如“Cannot find module napi-v3/bcrypt_lib.node”之类的错误，进而影响密码的哈希和比较功能。为了解决这些潜在问题，我们推荐使用纯JavaScript实现的bcryptjs库，它提供了与bcrypt相同的功能和兼容性，但避免了原生模块的依赖。

使用 bcryptjs 进行密码哈希与比较

bcryptjs是一个功能与bcrypt完全兼容的库，但它完全由JavaScript编写，避免了原生模块可能带来的兼容性问题。以下是集成bcryptjs到Node.js应用中的详细步骤。

1. 安装 bcryptjs

首先，您需要将bcryptjs添加到您的项目依赖中：

npm install bcryptjs

2. 在注册（Signup）时哈希密码

在用户注册流程中，当接收到用户的明文密码后，应立即对其进行哈希处理，并将哈希后的密码存储到数据库中。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/signup', async (req, res) => {    try {        const { firstName, lastName, email, role, password } = req.body;        // 检查邮箱是否已存在        const existingUser = await User.findOne({ email });        if (existingUser) {            return res.status(400).json({ message: 'Email already exists' });        }        // 设置默认密码（如果提供密码为空）        let plainTextPassword = password;        if (!plainTextPassword) {            plainTextPassword = 'defaultPassword123';        }        // 使用 bcryptjs 生成盐值并哈希密码        // genSaltSync 和 hashSync 是同步版本，但推荐使用异步版本以避免阻塞事件循环        const salt = await bcrypt.genSalt(10); // 异步生成盐值，成本因子为10        const hashedPassword = await bcrypt.hash(plainTextPassword, salt); // 异步哈希密码        // 创建新用户对象        const newUser = new User({            firstName,            lastName,            email,            role,            password: hashedPassword, // 存储哈希后的密码        });        // 保存用户到数据库        await newUser.save();        // ... 生成JWT令牌及其他响应逻辑 ...        res.status(201).json(authResponse);    } catch (error) {        console.error('Signup error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项：

bcrypt.genSalt(10) 中的 10 是盐值生成的工作因子（或成本因子），值越大，哈希计算越慢，安全性越高，但也会消耗更多CPU资源。通常建议在8到12之间选择。bcrypt.genSalt 和 bcrypt.hash 都是异步操作，应使用 await 或回调函数处理。使用 await 结合 async/await 语法可以使代码更简洁易读。

3. 在登录（Login）时比较密码

在用户登录流程中，从数据库中检索存储的哈希密码，并将其与用户输入的明文密码进行比较。bcryptjs.compare() 方法会处理用户输入密码的哈希过程，然后与数据库中的哈希密码进行比较。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/login', async (req, res) => {    try {        const { email, password } = req.body;        // 查找用户        const user = await User.findOne({ email });        if (!user) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // 获取数据库中存储的哈希密码        const hashedPasswordFromDb = user.password;        // 使用 bcryptjs 比较用户输入密码与存储的哈希密码        const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);        if (!passwordMatch) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // ... 生成JWT令牌及其他响应逻辑 ...        const token = jwt.sign({ email: user.email }, secretKey);        const expirationDate = new Date().getTime() + 3600000; // 1小时过期        const loggedInUser = {            firstName: user.firstName,            lastName: user.lastName,            email: user.email,            role: user.role,            id: user._id,            _token: token,            _tokenExpirationDate: expirationDate,        };        const authResponse = new AuthResponseData(loggedInUser);        res.status(200).json(authResponse);    } catch (error) {        console.error('Login error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项：

bcrypt.compare(plainTextPassword, hashedPassword) 方法接收两个参数：用户输入的明文密码和从数据库中取出的哈希密码。它会自动对明文密码进行哈希处理，然后与哈希密码进行比较。bcrypt.compare 同样是异步操作，必须使用 await 或回调函数来获取比较结果。

完整示例代码（集成 bcryptjs）

以下是一个整合了bcryptjs的server.js文件示例，展示了如何替换原有的bcrypt调用：

const express = require('express');const bcrypt = require('bcryptjs'); // 使用 bcryptjsconst jwt = require('jsonwebtoken');const mongoose = require('mongoose');const cors = require('cors');const secretKey = 'your_jwt_secret_key'; // 替换为您的JWT密钥const app = express();app.use(cors());app.use(express.json());// MongoDB connection URIconst uri = 'mongodb://localhost:27017/final-year-project';// Connect to the MongoDB databasemongoose  .connect(uri, { useNewUrlParser: true, useUnifiedTopology: true })  .then(() => {    console.log('Connected to the database');    app.listen(3000, () => {        console.log('App connected on port 3000');    });  })  .catch((error) => {    console.error('Failed to connect to the database:', error);  });// Define the user schemaconst userSchema = new mongoose.Schema({  firstName: { type: String, required: true },  lastName: { type: String, required: true },  email: { type: String, required: true, unique: true },  role: { type: String, required: true },  password: { type: String, required: true },}, { collection: 'users' });// Define the user modelconst User = mongoose.model('User', userSchema);class AuthResponseData {  constructor(user) {    this.user = user;  }}// Signup endpointapp.post('/signup', async (req, res) => {    try {      const { firstName, lastName, email, role, password } = req.body;      const existingUser = await User.findOne({ email });      if (existingUser) {        return res.status(400).json({ message: 'Email already exists' });      }      let plainTextPassword = password;      if (!plainTextPassword) {        plainTextPassword = 'defaultPassword123';      }      // 使用 bcryptjs 异步生成盐值和哈希密码      const salt = await bcrypt.genSalt(10);      const hashedPassword = await bcrypt.hash(plainTextPassword, salt);      const newUser = new User({        firstName,        lastName,        email,        role,        password: hashedPassword,      });      await newUser.save();      const token = jwt.sign({ email: newUser.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间      const expirationDate = new Date().getTime() + 3600000;      const user = {        firstName: newUser.firstName,        lastName: newUser.lastName,        email: newUser.email,        role: newUser.role,        id: newUser._id,        _token: token,        _tokenExpirationDate: expirationDate,      };      const authResponse = new AuthResponseData(user);      res.status(201).json(authResponse);    } catch (error) {      console.error('Signup error:', error);      res.status(500).json({ message: 'Internal server error' });    }});// Login endpointapp.post('/login', async (req, res) => {  try {    const { email, password } = req.body;    const user = await User.findOne({ email });    if (!user) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const hashedPasswordFromDb = user.password;    // 使用 bcryptjs 异步比较密码    const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);    if (!passwordMatch) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const token = jwt.sign({ email: user.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间    const expirationDate = new Date().getTime() + 3600000;    const loggedInUser = {      firstName: user.firstName,      lastName: user.lastName,      email: user.email,      role: user.role,      id: user._id,      _token: token,      _tokenExpirationDate: expirationDate,    };    const authResponse = new AuthResponseData(loggedInUser);    res.status(200).json(authResponse);  } catch (error) {    console.error('Login error:', error);    res.status(500).json({ message: 'Internal server error' });  }});

总结

通过使用bcryptjs，您可以避免bcrypt原生模块可能带来的兼容性问题，从而在Node.js应用中实现更稳定、更可靠的密码哈希和比较功能。始终记住，密码安全是用户认证系统的基石，选择合适的工具并遵循最佳实践是构建安全应用的关键。异步处理哈希和比较操作，并合理设置工作因子，可以在保证安全性的同时，兼顾应用的性能。

以上就是安全地比较存储的哈希密码与用户输入密码的指南的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1523103.html

app go java javascript js json mongodb node node.js word 回调函

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

单链表 push 方法实现详解：理解 head 和 tail 的关系

上一篇 2025年12月20日 15:37:44

实现单链表push方法的原理与实践

下一篇 2025年12月20日 15:37:55

好文分享

为什么多年的经验让我选择全栈而不是平均栈

在全栈和平均栈开发方面工作了 6 年多，我可以告诉您，虽然这两种方法都是流行且有效的方法，但它们满足不同的需求，并且有自己的优点和缺点。这两个堆栈都可以帮助您创建 Web 应用程序，但它们的实现方式却截然不同。如果您在两者之间难以选择，我希望我在两者之间的经验能给您一些有用的见解。在这篇文章中，我…

程序猿
2025年12月24日
0000
好文分享

深入理解CSS框架与JS之间的关系

深入理解CSS框架与JS之间的关系在现代web开发中，CSS框架和JavaScript (JS) 是两个常用的工具。CSS框架通过提供一系列样式和布局选项，可以帮助我们快速构建美观的网页。而JS则提供了一套功能强大的脚本语言，可以为网页添加交互和动态效果。本文将深入探讨CSS框架和JS之间的关系，…

程序猿
2025年12月24日
0000
好文分享

项目实践：如何结合CSS和JavaScript打造优秀网页的经验总结

项目实践：如何结合CSS和JavaScript打造优秀网页的经验总结随着互联网的快速发展，网页设计已经成为了各行各业都离不开的一项技能。优秀的网页设计可以给用户留下深刻的印象，提升用户体验，增加用户的黏性和转化率。而要做出优秀的网页设计，除了对美学的理解和创意的运用外，还需要掌握一些基本的技能，如…

程序猿
2025年12月24日
2000
好文分享

学完HTML和CSS之后我应该做什么？

网页开发是一段漫长的旅程，但是掌握了HTML和CSS技能意味着你已经赢得了一半的战斗。这两种语言对于学习网页开发技能来说非常重要和基础。现在不可或缺的是下一个问题，学完HTML和CSS之后我该做什么呢？对这些问题的答案可以分为2-3个部分，你可以继续练习你的HTML和CSS编码，然后了解在学习完H…

程序猿
2025年12月24日
0000
聊聊怎么利用CSS实现波浪进度条效果

本篇文章给大家分享css 高阶技巧，介绍一下如何使用css实现波浪进度条效果，希望对大家有所帮助！本文是 CSS Houdini 之 CSS Painting API 系列第三篇。现代 CSS 之高阶图片渐隐消失术现代 CSS 高阶技巧，像 Canvas 一样自由绘图构建样式！在上两篇中，我们…

程序猿
2025年12月24日 • 好文分享
2000
巧用距离、角度及光影制作炫酷的 3D 文字特效

如何利用 css 实现3d立体的数字？下面本篇文章就带大家巧用视觉障眼法，构建不一样的 3d 文字特效，希望对大家有所帮助！最近群里有这样一个有意思的问题，大家在讨论，使用 CSS 3D 能否实现如下所示的效果：这里的核心难点在于，如何利用 CSS 实现一个立体的数字？CSS 能做到吗？不是特…

程序猿
2025年12月24日 • 好文分享
0000
CSS高阶技巧：实现图片渐隐消的多种方法

将专注于实现复杂布局，兼容设备差异，制作酷炫动画，制作复杂交互，提升可访问性及构建奇思妙想效果等方面的内容。在兼顾基础概述的同时，注重对技巧的挖掘，结合实际进行运用，欢迎大家关注。正文从这里开始。在过往，我们想要实现一个图片的渐隐消失。最常见的莫过于整体透明度的变化，像是这样：立即学习“前端…

程序猿
2025年12月24日 • 好文分享
0000
好文分享

css实现登录按钮炫酷效果（附代码实例）

今天在网上看到一个炫酷的登录按钮效果；初看时感觉好牛掰；但是一点一点的抛开以后发现，并没有那么难；我会将全部代码贴出来；如果有不对的地方，大家指点一哈。分析我们抛开before不谈的话；其实原理和就是通过背景大小以及配合位置达到颜色渐变的效果。 text-transform: uppercase…

程序猿
2025年12月24日
0000
CSS flex布局属性：align-items和align-content的区别

在用flex布局时，发现有两个属性功能好像有点类似：align-items和align-content，乍看之下，它们都是用于定义flex容器中元素在交叉轴（主轴为flex-deriction定义的方向，默认为row，那么交叉轴跟主轴垂直即为column，反之它们互调，flex基本的概念如下图所示）…

程序猿
2025年12月24日 • 好文分享
0000
手把手教你用 transition 实现短视频 APP的点赞动画

怎么使用纯 css 实现有趣的点赞动画？下面本篇文章就带大家了解一下巧妙借助 transition实现点赞动画的方法，希望对大家有所帮助！在各种短视频界面上，我们经常会看到类似这样的点赞动画：非常的有意思，有意思的交互会让用户更愿意进行互动。那么，这么有趣的点赞动画，有没有可能使用纯 CSS …

程序猿
2025年12月24日 • 好文分享
0000
巧用CSS实现各种奇形怪状按钮（附代码）

本篇文章带大家看看怎么使用 CSS 轻松实现高频出现的各类奇形怪状按钮，希望对大家有所帮助！怎么样使用 CSS 实现一个内切角按钮呢、怎么样实现一个带箭头的按钮呢？本文基于一些高频出现在设计稿中的，使用 css 实现稍微有点难度和技巧性的按钮，讲解使用 css 如何尽可能的实现它们。【推荐学习：…

程序猿
2025年12月24日 • 好文分享
0000
原来利用纯CSS也能实现文字轮播与图片轮播！

怎么制作文字轮播与图片轮播？大家第一想到的是不是利用js，其实利用纯css也能实现文字轮播与图片轮播，下面来看看实现方法，希望对大家有所帮助！今天，分享一个实际业务中能够用得上的动画技巧。【推荐学习：css视频教程】巧用逐帧动画，配合补间动画实现一个无限循环的轮播效果，像是这样：立即学习“前端…

程序猿
2025年12月24日 • 好文分享
0000
HTML+CSS+JS实现雪花飘扬（代码分享）

使用html+css+js如何实现下雪特效？下面本篇文章给大家分享一个html+css+js实现雪花飘扬的示例，希望对大家有所帮助。很多南方的小伙伴可能没怎么见过或者从来没见过下雪，今天我给大家带来一个小Demo，模拟了下雪场景，首先让我们看一下运行效果可以点击看看在线运行：http://hai…

程序猿
2025年12月24日 • 好文分享
5000
好文分享

总结整理：需要避坑的五大常见css错误（收藏）

本篇文章给大家总结5个最常见的css错误，并介绍一下避坑方法，希望对大家有所帮助！正如我们今天所知，CSS语言是web的一个重要组成部分。它使我们有能力绘制元素在屏幕、网页或其他媒体中的展示方式。它简单、强大，而且是声明式的。我们可以很容易地实现复杂的事情，如暗黑/光明模式。然而，对它有很多误解…

程序猿
2025年12月24日
0000
CSS+JS实现爱心点赞按钮（代码示例）

本篇文章给大家介绍一下css+js实现一个“爱之满满”点赞按钮的方法，希望对大家有所帮助！前段时间在看一档说唱节目，被里面的一个说唱歌手JBcob的爱之满满这句词给洗脑了。于是这次给大家带来一个爱之满满的点赞按钮，让大家在点赞的同时还能感受到被爱包裹的感觉。立即学习“前端免费学习笔记（深入）”…

程序猿
2025年12月24日 • 好文分享
0000
好文分享

让人眼前一亮的五个前端小技巧

为了让大家编程更轻松一些，本挑选一些有用的但相对比较少见有用的技巧。废话不多说，开车了。 1.快速隐藏要隐藏一个DOM元素，不需要JavaScript。一个原生的HTML属性就足以隐藏。其效果类似于添加一个style display: none;。该段落在页面上是不可见的，它对HTML是隐藏的。…

程序猿
2025年12月24日
0000
10款好看且实用的文字动画特效，让你的页面更吸引人！

图片和文字是网页不可缺少的组成部分，图片运用得当可以让网页变得生动，但普通的文字不行。那么就可以给文字添加一些样式，实现一下好看的文字效果，让页面变得更交互，更吸引人。下面创想鸟就来给大家分享10款文字动画特效，好看且实用，快来收藏吧！ 1、网页玻璃文字动画特效模板简介：使用css3制作网页渐变底…

程序猿
2025年12月24日 • 好文分享
0000
如何实现炫酷的数字大屏

依托强大无远开发平台，可以快速实现带各种酷炫联动效果的数字化大屏。一起来看一下吧 DEMO 地址：https://previewer.wuyuan.io/p… 配置地址：https://workbench.wuyuan.io/p… 效果图 1 效果图 2 实现步骤 1. 完成…

程序猿
2025年12月24日 • 好文分享
0000
使用JS或CSS如何实现瀑布流布局，几种方案介绍

本篇文章带大家了解一下瀑布流布局，介绍一下三种靠谱js方案，以及n种不靠谱css方案。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。本着实用精神，我们今天来分享一下瀑布流布局（昨天有个小兄弟问我怎么做，我找了半天没找到，啊原来写在内网了）。演示地址: http://www.li…

程序猿
2025年12月24日 • 好文分享
0000
好文分享

tp5如何引入css文件

tp5引入css文件的方法：1、将css文件放在public目录下的static文件里即可；2、在页面引入中写上“”语句即可。本教程操作环境：windows7系统、CSS3&&HTML5版、Dell G3电脑。其实很简单,只需要将css,js,image文件放在这个目录下即可页…

程序猿
2025年12月24日
0000