投稿获客
广告
广告 广告 广告
广告 广告 广告 广告
广告 █ 推荐【菠萝云】香港16G内存99元 【CDNCloud】极速、安全可靠的加速体验 广告位联系QQ:253000106 【UStat】免费网站统计平台 SSL证书低至2折 单域名36元起 免费测试!海总一手APK免杀处理 广告位联系QQ:253000106 CDN 服务器 反炸 劫持 域名屏蔽 【UStat】专业网站统计平台 域名注册:海量域名快速注册 安卓免杀 谷歌报毒 封装 苹果签名 广告位联系QQ:253000106 【域名被劫持污染如何处理】 安卓免杀★超级签★封装★谷歌屏蔽 广告位联系QQ:253000106

*本站广告为第三方投放,如发生纠纷,请向本站索取第三方联系方式沟通

  1. 创想鸟首页
  2. 好文分享

安全地比较存储的哈希密码与用户输入密码的指南

程序猿 好文分享 阅读 0

安全地比较存储的哈希密码与用户输入密码的指南

本文详细介绍了在Node.js应用中如何安全有效地比较存储的哈希密码与用户输入的密码。针对bcrypt库可能遇到的兼容性问题,文章推荐使用纯JavaScript实现的bcryptjs库,并提供了详细的安装、注册(哈希)和登录(比较)的代码示例,旨在帮助开发者构建更稳定可靠的用户认证系统。

引言:密码安全存储与验证的重要性

在任何用户认证系统中,密码的安全存储和验证是至关重要的。直接存储明文密码是极不安全的行为,一旦数据库泄露,所有用户密码将面临风险。因此,业界普遍采用哈希算法对密码进行单向加密存储。当用户尝试登录时,系统会对其输入的密码进行相同的哈希处理,然后将结果与数据库中存储的哈希值进行比较。

bcrypt是Node.js环境中常用的密码哈希库,以其计算成本高、抗彩虹表攻击能力强而闻名。然而,由于bcrypt依赖于C++插件,在某些环境下可能会出现编译或兼容性问题,导致诸如“Cannot find module napi-v3/bcrypt_lib.node”之类的错误,进而影响密码的哈希和比较功能。为了解决这些潜在问题,我们推荐使用纯JavaScript实现的bcryptjs库,它提供了与bcrypt相同的功能和兼容性,但避免了原生模块的依赖。

使用 bcryptjs 进行密码哈希与比较

bcryptjs是一个功能与bcrypt完全兼容的库,但它完全由JavaScript编写,避免了原生模块可能带来的兼容性问题。以下是集成bcryptjs到Node.js应用中的详细步骤。

1. 安装 bcryptjs

首先,您需要将bcryptjs添加到您的项目依赖中:

npm install bcryptjs

2. 在注册(Signup)时哈希密码

在用户注册流程中,当接收到用户的明文密码后,应立即对其进行哈希处理,并将哈希后的密码存储到数据库中。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/signup', async (req, res) => {    try {        const { firstName, lastName, email, role, password } = req.body;        // 检查邮箱是否已存在        const existingUser = await User.findOne({ email });        if (existingUser) {            return res.status(400).json({ message: 'Email already exists' });        }        // 设置默认密码(如果提供密码为空)        let plainTextPassword = password;        if (!plainTextPassword) {            plainTextPassword = 'defaultPassword123';        }        // 使用 bcryptjs 生成盐值并哈希密码        // genSaltSync 和 hashSync 是同步版本,但推荐使用异步版本以避免阻塞事件循环        const salt = await bcrypt.genSalt(10); // 异步生成盐值,成本因子为10        const hashedPassword = await bcrypt.hash(plainTextPassword, salt); // 异步哈希密码        // 创建新用户对象        const newUser = new User({            firstName,            lastName,            email,            role,            password: hashedPassword, // 存储哈希后的密码        });        // 保存用户到数据库        await newUser.save();        // ... 生成JWT令牌及其他响应逻辑 ...        res.status(201).json(authResponse);    } catch (error) {        console.error('Signup error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项:

bcrypt.genSalt(10) 中的 10 是盐值生成的工作因子(或成本因子),值越大,哈希计算越慢,安全性越高,但也会消耗更多CPU资源。通常建议在8到12之间选择。bcrypt.genSalt 和 bcrypt.hash 都是异步操作,应使用 await 或回调函数处理。使用 await 结合 async/await 语法可以使代码更简洁易读。

3. 在登录(Login)时比较密码

在用户登录流程中,从数据库中检索存储的哈希密码,并将其与用户输入的明文密码进行比较。bcryptjs.compare() 方法会处理用户输入密码的哈希过程,然后与数据库中的哈希密码进行比较。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/login', async (req, res) => {    try {        const { email, password } = req.body;        // 查找用户        const user = await User.findOne({ email });        if (!user) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // 获取数据库中存储的哈希密码        const hashedPasswordFromDb = user.password;        // 使用 bcryptjs 比较用户输入密码与存储的哈希密码        const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);        if (!passwordMatch) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // ... 生成JWT令牌及其他响应逻辑 ...        const token = jwt.sign({ email: user.email }, secretKey);        const expirationDate = new Date().getTime() + 3600000; // 1小时过期        const loggedInUser = {            firstName: user.firstName,            lastName: user.lastName,            email: user.email,            role: user.role,            id: user._id,            _token: token,            _tokenExpirationDate: expirationDate,        };        const authResponse = new AuthResponseData(loggedInUser);        res.status(200).json(authResponse);    } catch (error) {        console.error('Login error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项:

bcrypt.compare(plainTextPassword, hashedPassword) 方法接收两个参数:用户输入的明文密码和从数据库中取出的哈希密码。它会自动对明文密码进行哈希处理,然后与哈希密码进行比较。bcrypt.compare 同样是异步操作,必须使用 await 或回调函数来获取比较结果。

完整示例代码(集成 bcryptjs)

以下是一个整合了bcryptjs的server.js文件示例,展示了如何替换原有的bcrypt调用:

const express = require('express');const bcrypt = require('bcryptjs'); // 使用 bcryptjsconst jwt = require('jsonwebtoken');const mongoose = require('mongoose');const cors = require('cors');const secretKey = 'your_jwt_secret_key'; // 替换为您的JWT密钥const app = express();app.use(cors());app.use(express.json());// MongoDB connection URIconst uri = 'mongodb://localhost:27017/final-year-project';// Connect to the MongoDB databasemongoose  .connect(uri, { useNewUrlParser: true, useUnifiedTopology: true })  .then(() => {    console.log('Connected to the database');    app.listen(3000, () => {        console.log('App connected on port 3000');    });  })  .catch((error) => {    console.error('Failed to connect to the database:', error);  });// Define the user schemaconst userSchema = new mongoose.Schema({  firstName: { type: String, required: true },  lastName: { type: String, required: true },  email: { type: String, required: true, unique: true },  role: { type: String, required: true },  password: { type: String, required: true },}, { collection: 'users' });// Define the user modelconst User = mongoose.model('User', userSchema);class AuthResponseData {  constructor(user) {    this.user = user;  }}// Signup endpointapp.post('/signup', async (req, res) => {    try {      const { firstName, lastName, email, role, password } = req.body;      const existingUser = await User.findOne({ email });      if (existingUser) {        return res.status(400).json({ message: 'Email already exists' });      }      let plainTextPassword = password;      if (!plainTextPassword) {        plainTextPassword = 'defaultPassword123';      }      // 使用 bcryptjs 异步生成盐值和哈希密码      const salt = await bcrypt.genSalt(10);      const hashedPassword = await bcrypt.hash(plainTextPassword, salt);      const newUser = new User({        firstName,        lastName,        email,        role,        password: hashedPassword,      });      await newUser.save();      const token = jwt.sign({ email: newUser.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间      const expirationDate = new Date().getTime() + 3600000;      const user = {        firstName: newUser.firstName,        lastName: newUser.lastName,        email: newUser.email,        role: newUser.role,        id: newUser._id,        _token: token,        _tokenExpirationDate: expirationDate,      };      const authResponse = new AuthResponseData(user);      res.status(201).json(authResponse);    } catch (error) {      console.error('Signup error:', error);      res.status(500).json({ message: 'Internal server error' });    }});// Login endpointapp.post('/login', async (req, res) => {  try {    const { email, password } = req.body;    const user = await User.findOne({ email });    if (!user) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const hashedPasswordFromDb = user.password;    // 使用 bcryptjs 异步比较密码    const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);    if (!passwordMatch) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const token = jwt.sign({ email: user.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间    const expirationDate = new Date().getTime() + 3600000;    const loggedInUser = {      firstName: user.firstName,      lastName: user.lastName,      email: user.email,      role: user.role,      id: user._id,      _token: token,      _tokenExpirationDate: expirationDate,    };    const authResponse = new AuthResponseData(loggedInUser);    res.status(200).json(authResponse);  } catch (error) {    console.error('Login error:', error);    res.status(500).json({ message: 'Internal server error' });  }});

总结

通过使用bcryptjs,您可以避免bcrypt原生模块可能带来的兼容性问题,从而在Node.js应用中实现更稳定、更可靠的密码哈希和比较功能。始终记住,密码安全是用户认证系统的基石,选择合适的工具并遵循最佳实践是构建安全应用的关键。异步处理哈希和比较操作,并合理设置工作因子,可以在保证安全性的同时,兼顾应用的性能。

以上就是安全地比较存储的哈希密码与用户输入密码的指南的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1523103.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

373.3K 文章
0 评论
1 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年12月20日 15:37:44
下一篇 2025年12月14日 15:49:37

相关推荐

  • 实现单链表push方法的原理与实践

    本文深入探讨了单链表数据结构中push方法的实现原理。通过分析常见的错误实现方式,着重解释了head和tail指针在链表操作中的作用,并提供了一段清晰、易懂的JavaScript代码示例,帮助读者理解如何正确地将新节点添加到链表的末尾,并维护链表的结构。 单链表与push方法 单链表是一种基础的数据…

    程序猿的头像 程序猿
    好文分享 2025年12月20日
    000
  • 单链表 push 方法实现详解:理解 head 和 tail 的关系 好文分享

    单链表 push 方法实现详解:理解 head 和 tail 的关系

    单链表 push 方法的实现,着重讲解 head 和 tail 指针在插入新节点时的作用和相互影响。通过代码示例,深入理解为什么修改 tail.next 会影响 head.next,以及如何正确更新 tail 指针,确保链表的正确性。最终提供一个清晰、易懂的 push 方法实现,帮助读者掌握单链表的…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • JavaScript 字符串部分模糊匹配:一种实用方法 好文分享

    JavaScript 字符串部分模糊匹配:一种实用方法

    本文探讨了在 JavaScript 中进行字符串部分模糊匹配的方法,重点解决当待比较字符串长度差异较大时,传统字符串相似度算法表现不佳的问题。文章提供了一种基于单词匹配的简单而有效的解决方案,并附带示例代码,帮助开发者快速实现字符串的相似度比较。 在 JavaScript 中,我们经常需要比较两个字…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 深入理解单链表的push操作:原理、实现与易错点分析 好文分享

    深入理解单链表的push操作:原理、实现与易错点分析

    本文旨在深入解析单链表push操作的实现原理,通过剖析常见错误代码,详细讲解如何正确地将新节点添加到链表尾部,并更新head和tail指针,确保链表结构的完整性和正确性。我们将通过代码示例和逐步分析,帮助读者彻底理解单链表push操作的内部机制。 单链表push操作详解 单链表是一种常见的数据结构,…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • JavaScript 字符串部分模糊匹配:寻找更有效的相似度比较方法 好文分享

    JavaScript 字符串部分模糊匹配:寻找更有效的相似度比较方法

    本文旨在解决JavaScript中字符串相似度比较的问题,尤其是在比较长短差异显著的字符串时,传统方法可能失效。我们将探讨一种基于单词匹配的暴力破解方法,通过清洗文本、分割单词并计算匹配度,从而更准确地评估字符串之间的相似性。本文提供详细的代码示例,并解释其实现原理,帮助开发者在实际项目中选择合适的…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • React Native中更新列表而不重置状态 好文分享

    React Native中更新列表而不重置状态

    本文针对React Native开发中,在useEffect钩子中使用状态更新函数setTrackList时遇到的状态闭包问题,提供了一种解决方案。通过使用回调函数的方式更新状态,避免了访问过时的状态值,并解释了React状态更新的异步性。此外,还讨论了在组件卸载时取消订阅监听器的重要性,以防止潜在…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • React Native 中更新列表而不重置状态的解决方案 好文分享

    React Native 中更新列表而不重置状态的解决方案

    本文旨在解决 React Native 应用中使用 useEffect 钩子监听 Firebase 数据库变化时,列表状态无法正确更新的问题。文章深入探讨了 JavaScript 闭包陷阱和 React 状态更新机制,并提供了使用回调函数更新状态和取消订阅监听器的最佳实践,以确保应用性能和数据一致性…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 理解单链表:深入剖析 push 方法的实现原理 好文分享

    理解单链表:深入剖析 push 方法的实现原理

    单链表是一种基础的数据结构,其核心在于节点之间的链接关系。push 方法作为单链表的基本操作之一,用于在链表尾部添加新节点。理解 push 方法的实现原理,有助于更好地掌握单链表的核心概念。下面,我们将通过一个常见的错误示例,深入剖析 push 方法的实现细节,并提供一个正确的实现方案。 错误示例分…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 解决 React Native 中列表更新但状态未重置的问题 好文分享

    解决 React Native 中列表更新但状态未重置的问题

    本文针对 React Native 应用中列表更新但状态未正确反映的问题,深入探讨了 useEffect 钩子中的闭包陷阱以及 React 状态更新的异步性。通过示例代码和详细解释,提供了利用回调函数更新状态、避免陈旧闭包,以及处理组件卸载时取消订阅的方案,帮助开发者构建更稳定、高效的 React …

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 如何用Three.js实现一个虚拟现实场景? 好文分享

    如何用Three.js实现一个虚拟现实场景?

    首先启用WebXR,通过renderer.xr.enabled = true开启VR支持,并使用XRButton添加进入VR按钮;接着构建3D场景,包括Scene、Camera、Light及几何体或模型,确保物体比例真实;然后获取XR控制器input源,监听selectstart事件实现交互,可附加…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • KaboomJS特定版本查找与安装教程 好文分享

    KaboomJS特定版本查找与安装教程

    本教程旨在指导用户如何查找和安装KaboomJS的特定版本,涵盖了通过npm进行版本安装以及在GitHub Releases页面检索历史版本的方法。同时,针对特定版本(如0.6.0)难以寻觅的特殊情况,提供了排查思路和建议,帮助开发者有效管理项目依赖。 在web开发实践中,项目有时需要依赖特定版本的…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • JavaScript中的类(Class)与构造函数有何区别与联系? 好文分享

    JavaScript中的类(Class)与构造函数有何区别与联系?

    类是构造函数的语法糖,基于原型继承;2. 两者功能等价,类提供更清晰安全的语法;3. 类必须用new调用、无提升、默认严格模式;4. 类通过extends和super简化继承。 JavaScript中的类(Class)和构造函数本质上是同一机制的不同表现形式,它们都用于创建对象实例,但语法和使用方式…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 如何构建一个支持服务器端渲染的同构JavaScript应用? 好文分享

    如何构建一个支持服务器端渲染的同构JavaScript应用?

    选择支持SSR的框架如Next.js或Nuxt.js,统一数据获取逻辑并通过初始状态注入,处理浏览器API兼容性及样式资源同构问题,确保代码在服务端与客户端一致运行。 构建一个支持服务器端渲染(SSR)的同构JavaScript应用,核心在于让同一套代码在浏览器和服务器上都能运行。这样既能提升首屏加…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • JavaScript中的严格模式(Strict Mode)有哪些容易被忽略的限制? 好文分享

    JavaScript中的严格模式(Strict Mode)有哪些容易被忽略的限制?

    严格模式通过”use strict”启用,禁止删除不可配置属性、函数参数重复、arguments与参数同步、八进制字面量及this绑定全局对象,提升代码安全但易被忽略。 JavaScript的严格模式(Strict Mode)通过在脚本或函数顶部添加”use strict”;…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 动态添加和移除DOM元素时appendChild失效的解决方案 好文分享

    动态添加和移除DOM元素时appendChild失效的解决方案

    本文旨在解决在使用JavaScript动态添加和移除DOM元素时,appendChild方法在第二次添加时失效的问题。通过分析问题原因,并提供修改后的代码示例,帮助开发者理解如何正确地清空父元素并重新添加子元素,避免因错误移除父元素导致的异常。 在使用JavaScript动态地向DOM中添加元素,并…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 从对象中提取数组:JavaScript教程 好文分享

    从对象中提取数组:JavaScript教程

    从对象中提取数组:JavaScript教程 本文将详细介绍如何从包含数组的对象中提取数据,并将其应用于动态生成HTML内容。 在前端开发中,经常会遇到从API接口获取数据,而这些数据往往以JSON格式返回,其中可能包含嵌套的对象和数组。我们需要从这些复杂的数据结构中提取所需的信息,并将其展示在网页上…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 如何从对象内部的数组中提取数据 好文分享

    如何从对象内部的数组中提取数据

    本文旨在指导开发者如何从包含数组的对象中提取数据,并将其渲染到HTML页面上。通过使用map方法进行嵌套迭代,我们可以访问数组中的每个对象,并提取所需的属性,最终生成动态的HTML内容。本文将提供详细的代码示例和解释,帮助你理解和应用这种数据提取方法。 假设我们从API获取的数据结构如下,其中lab…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 从对象中提取数组数据的实用指南 好文分享

    从对象中提取数组数据的实用指南

    本文将指导您如何从包含数组的对象中提取数据,并将其应用于实际场景,例如动态生成 HTML 内容。我们将通过示例代码和详细解释,展示如何处理嵌套的数组数据,并将其有效地展示在网页上。 在实际开发中,我们经常会遇到从 API 接口获取的数据结构中包含数组的情况。例如,一个用户对象可能包含一个 label…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • 从包含数组的对象中提取数据:构建动态HTML的实践教程 好文分享

    从包含数组的对象中提取数据:构建动态HTML的实践教程

    本文旨在指导开发者如何从API响应中提取嵌套在对象内的数组数据,并利用这些数据动态生成HTML结构。通过实际示例,我们将演示如何使用JavaScript的map方法处理数组中的每个元素,并将其转换为HTML片段,最终将其插入到网页中。本文将重点介绍处理嵌套数组的技巧,并提供清晰的代码示例和注意事项,…

    程序猿的头像 程序猿
    2025年12月20日
    000
  • React 组件中 handleClick Prop 未被识别的解决方案 好文分享

    React 组件中 handleClick Prop 未被识别的解决方案

    本文旨在解决 React 开发中遇到的 “React does not recognize the handleClick prop on a DOM element” 警告问题。我们将分析问题原因,并提供使用 onClick 替代 handleClick 的解决方案,确保代…

    程序猿的头像 程序猿
    2025年12月20日
    000

发表回复

登录后才能评论
关注微信