投稿获客
  1. 创想鸟首页
  2. 用户投稿

安全地比较存储的哈希密码与用户输入密码的指南

程序猿 用户投稿 阅读 1

安全地比较存储的哈希密码与用户输入密码的指南

本文详细介绍了在Node.js应用中如何安全有效地比较存储的哈希密码与用户输入的密码。针对bcrypt库可能遇到的兼容性问题,文章推荐使用纯JavaScript实现的bcryptjs库,并提供了详细的安装、注册(哈希)和登录(比较)的代码示例,旨在帮助开发者构建更稳定可靠的用户认证系统。

引言:密码安全存储与验证的重要性

在任何用户认证系统中,密码的安全存储和验证是至关重要的。直接存储明文密码是极不安全的行为,一旦数据库泄露,所有用户密码将面临风险。因此,业界普遍采用哈希算法对密码进行单向加密存储。当用户尝试登录时,系统会对其输入的密码进行相同的哈希处理,然后将结果与数据库中存储的哈希值进行比较。

bcrypt是Node.js环境中常用的密码哈希库,以其计算成本高、抗彩虹表攻击能力强而闻名。然而,由于bcrypt依赖于C++插件,在某些环境下可能会出现编译或兼容性问题,导致诸如“Cannot find module napi-v3/bcrypt_lib.node”之类的错误,进而影响密码的哈希和比较功能。为了解决这些潜在问题,我们推荐使用纯JavaScript实现的bcryptjs库,它提供了与bcrypt相同的功能和兼容性,但避免了原生模块的依赖。

使用 bcryptjs 进行密码哈希与比较

bcryptjs是一个功能与bcrypt完全兼容的库,但它完全由JavaScript编写,避免了原生模块可能带来的兼容性问题。以下是集成bcryptjs到Node.js应用中的详细步骤。

1. 安装 bcryptjs

首先,您需要将bcryptjs添加到您的项目依赖中:

npm install bcryptjs

2. 在注册(Signup)时哈希密码

在用户注册流程中,当接收到用户的明文密码后,应立即对其进行哈希处理,并将哈希后的密码存储到数据库中。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/signup', async (req, res) => {    try {        const { firstName, lastName, email, role, password } = req.body;        // 检查邮箱是否已存在        const existingUser = await User.findOne({ email });        if (existingUser) {            return res.status(400).json({ message: 'Email already exists' });        }        // 设置默认密码(如果提供密码为空)        let plainTextPassword = password;        if (!plainTextPassword) {            plainTextPassword = 'defaultPassword123';        }        // 使用 bcryptjs 生成盐值并哈希密码        // genSaltSync 和 hashSync 是同步版本,但推荐使用异步版本以避免阻塞事件循环        const salt = await bcrypt.genSalt(10); // 异步生成盐值,成本因子为10        const hashedPassword = await bcrypt.hash(plainTextPassword, salt); // 异步哈希密码        // 创建新用户对象        const newUser = new User({            firstName,            lastName,            email,            role,            password: hashedPassword, // 存储哈希后的密码        });        // 保存用户到数据库        await newUser.save();        // ... 生成JWT令牌及其他响应逻辑 ...        res.status(201).json(authResponse);    } catch (error) {        console.error('Signup error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项:

bcrypt.genSalt(10) 中的 10 是盐值生成的工作因子(或成本因子),值越大,哈希计算越慢,安全性越高,但也会消耗更多CPU资源。通常建议在8到12之间选择。bcrypt.genSalt 和 bcrypt.hash 都是异步操作,应使用 await 或回调函数处理。使用 await 结合 async/await 语法可以使代码更简洁易读。

3. 在登录(Login)时比较密码

在用户登录流程中,从数据库中检索存储的哈希密码,并将其与用户输入的明文密码进行比较。bcryptjs.compare() 方法会处理用户输入密码的哈希过程,然后与数据库中的哈希密码进行比较。

const bcrypt = require('bcryptjs'); // 替换或同时引入 bcryptjs// ... 其他代码 ...app.post('/login', async (req, res) => {    try {        const { email, password } = req.body;        // 查找用户        const user = await User.findOne({ email });        if (!user) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // 获取数据库中存储的哈希密码        const hashedPasswordFromDb = user.password;        // 使用 bcryptjs 比较用户输入密码与存储的哈希密码        const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);        if (!passwordMatch) {            return res.status(401).json({ message: 'Invalid email or password' });        }        // ... 生成JWT令牌及其他响应逻辑 ...        const token = jwt.sign({ email: user.email }, secretKey);        const expirationDate = new Date().getTime() + 3600000; // 1小时过期        const loggedInUser = {            firstName: user.firstName,            lastName: user.lastName,            email: user.email,            role: user.role,            id: user._id,            _token: token,            _tokenExpirationDate: expirationDate,        };        const authResponse = new AuthResponseData(loggedInUser);        res.status(200).json(authResponse);    } catch (error) {        console.error('Login error:', error);        res.status(500).json({ message: 'Internal server error' });    }});

注意事项:

bcrypt.compare(plainTextPassword, hashedPassword) 方法接收两个参数:用户输入的明文密码和从数据库中取出的哈希密码。它会自动对明文密码进行哈希处理,然后与哈希密码进行比较。bcrypt.compare 同样是异步操作,必须使用 await 或回调函数来获取比较结果。

完整示例代码(集成 bcryptjs)

以下是一个整合了bcryptjs的server.js文件示例,展示了如何替换原有的bcrypt调用:

const express = require('express');const bcrypt = require('bcryptjs'); // 使用 bcryptjsconst jwt = require('jsonwebtoken');const mongoose = require('mongoose');const cors = require('cors');const secretKey = 'your_jwt_secret_key'; // 替换为您的JWT密钥const app = express();app.use(cors());app.use(express.json());// MongoDB connection URIconst uri = 'mongodb://localhost:27017/final-year-project';// Connect to the MongoDB databasemongoose  .connect(uri, { useNewUrlParser: true, useUnifiedTopology: true })  .then(() => {    console.log('Connected to the database');    app.listen(3000, () => {        console.log('App connected on port 3000');    });  })  .catch((error) => {    console.error('Failed to connect to the database:', error);  });// Define the user schemaconst userSchema = new mongoose.Schema({  firstName: { type: String, required: true },  lastName: { type: String, required: true },  email: { type: String, required: true, unique: true },  role: { type: String, required: true },  password: { type: String, required: true },}, { collection: 'users' });// Define the user modelconst User = mongoose.model('User', userSchema);class AuthResponseData {  constructor(user) {    this.user = user;  }}// Signup endpointapp.post('/signup', async (req, res) => {    try {      const { firstName, lastName, email, role, password } = req.body;      const existingUser = await User.findOne({ email });      if (existingUser) {        return res.status(400).json({ message: 'Email already exists' });      }      let plainTextPassword = password;      if (!plainTextPassword) {        plainTextPassword = 'defaultPassword123';      }      // 使用 bcryptjs 异步生成盐值和哈希密码      const salt = await bcrypt.genSalt(10);      const hashedPassword = await bcrypt.hash(plainTextPassword, salt);      const newUser = new User({        firstName,        lastName,        email,        role,        password: hashedPassword,      });      await newUser.save();      const token = jwt.sign({ email: newUser.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间      const expirationDate = new Date().getTime() + 3600000;      const user = {        firstName: newUser.firstName,        lastName: newUser.lastName,        email: newUser.email,        role: newUser.role,        id: newUser._id,        _token: token,        _tokenExpirationDate: expirationDate,      };      const authResponse = new AuthResponseData(user);      res.status(201).json(authResponse);    } catch (error) {      console.error('Signup error:', error);      res.status(500).json({ message: 'Internal server error' });    }});// Login endpointapp.post('/login', async (req, res) => {  try {    const { email, password } = req.body;    const user = await User.findOne({ email });    if (!user) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const hashedPasswordFromDb = user.password;    // 使用 bcryptjs 异步比较密码    const passwordMatch = await bcrypt.compare(password, hashedPasswordFromDb);    if (!passwordMatch) {      return res.status(401).json({ message: 'Invalid email or password' });    }    const token = jwt.sign({ email: user.email }, secretKey, { expiresIn: '1h' }); // JWT设置过期时间    const expirationDate = new Date().getTime() + 3600000;    const loggedInUser = {      firstName: user.firstName,      lastName: user.lastName,      email: user.email,      role: user.role,      id: user._id,      _token: token,      _tokenExpirationDate: expirationDate,    };    const authResponse = new AuthResponseData(loggedInUser);    res.status(200).json(authResponse);  } catch (error) {    console.error('Login error:', error);    res.status(500).json({ message: 'Internal server error' });  }});

总结

通过使用bcryptjs,您可以避免bcrypt原生模块可能带来的兼容性问题,从而在Node.js应用中实现更稳定、更可靠的密码哈希和比较功能。始终记住,密码安全是用户认证系统的基石,选择合适的工具并遵循最佳实践是构建安全应用的关键。异步处理哈希和比较操作,并合理设置工作因子,可以在保证安全性的同时,兼顾应用的性能。

以上就是安全地比较存储的哈希密码与用户输入密码的指南的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1523103.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
单链表 push 方法实现详解:理解 head 和 tail 的关系
上一篇 2025年12月20日 15:37:44
实现单链表push方法的原理与实践
下一篇 2025年12月20日 15:37:55

相关推荐

  • 修复Django电商项目中AJAX过滤产品列表图片不显示问题 用户投稿

    修复Django电商项目中AJAX过滤产品列表图片不显示问题

    在Django电商项目中,当使用AJAX动态加载过滤后的产品列表时,常遇到图片无法正常显示的问题。这通常是由于前端模板中图片加载方式(如data-setbg属性结合JavaScript库)与AJAX动态内容更新机制不兼容所致。解决方案是直接在AJAX返回的HTML中使用标准的标签来渲染图片,确保浏览…

    程序猿的头像 程序猿
    2026年5月10日
    700
  • 开源免费PHP工具 PHP开发效率提升利器 用户投稿

    开源免费PHP工具 PHP开发效率提升利器

    推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • Matplotlib 地图中多类型图例的创建与优化

    Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化

    本教程旨在解决matplotlib地图可视化中,如何在一个图例中同时展示颜色块(如区域分类)和自定义标记(如特定兴趣点)的问题。文章详细介绍了当传统`patch`对象无法正确显示标记时,如何利用`matplotlib.lines.line2d`创建标记图例句柄,并将其与颜色块图例句柄合并,从而生成一…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    900
  • Golang JSON序列化:控制敏感字段暴露的最佳实践 用户投稿

    Golang JSON序列化:控制敏感字段暴露的最佳实践

    本教程探讨golang中如何高效控制结构体字段在json序列化时的可见性。当需要将包含敏感信息的结构体数组转换为json响应时,通过利用`encoding/json`包提供的结构体标签,特别是`json:”-“`,可以轻松实现对特定字段的忽略,从而避免敏感数据泄露,确保api…

    程序猿的头像 程序猿
    2026年5月10日
    300
  • 比特币新手教程 比特币交易平台有哪些 用户投稿

    比特币新手教程 比特币交易平台有哪些

    比特币是一种去中心化的数字货币,基于区块链技术实现点对点交易,具有匿名性、有限发行和不可篡改等特点;新手可通过交易所购买,P2P交易获得比特币,常用平台包括Binance、OKX和Huobi;交易流程包括注册账户、实名认证、绑定支付方式、充值法币并下单购买,可选择市价单或限价单;比特币存储方式有交易…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Golang gRPC流式请求异常处理 用户投稿

    Golang gRPC流式请求异常处理

    在Golang的gRPC流式通信中,必须通过context.Context处理异常。应监听上下文取消或超时,及时释放资源,设置合理超时,避免连接长时间挂起,并在goroutine中通过context控制生命周期。 在使用 Golang 和 gRPC 实现流式通信时,异常处理是确保服务健壮性的关键部分…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践 用户投稿

    Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践

    本文旨在解决go语言mgo库中构建复杂查询时,特别是涉及嵌套`bson.m`和日期范围筛选的常见错误。我们将深入剖析`bson.m`的类型特性,解释为何直接索引`interface{}`会导致“invalid operation”错误,并提供一种推荐的、结构清晰的代码重构方案,以确保查询条件能够正确…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • vscode上怎么运行html_vscode上运行html步骤【指南】 用户投稿

    vscode上怎么运行html_vscode上运行html步骤【指南】

    首先保存文件为.html格式,再通过浏览器或Live Server插件打开预览;推荐安装Live Server实现本地服务器运行与实时刷新,提升开发体验。 在 VS Code 上运行 HTML 文件并不需要复杂的配置,只需几个简单步骤即可预览页面效果。VS Code 本身是一个代码编辑器,不直接运行…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 修复点击时按钮抖动:CSS垂直对齐实践 用户投稿

    修复点击时按钮抖动:CSS垂直对齐实践

    本文探讨了在Web开发中,交互式按钮(如播放/暂停按钮)在点击时发生意外垂直位移的问题。通过分析CSS样式变化对元素布局的影响,我们发现这是由于按钮不同状态下的边框样式和内边距改变,以及默认的垂直对齐行为共同作用所致。核心解决方案是利用CSS的vertical-align属性,将其设置为middle…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • Golang goroutine与channel调试技巧 用户投稿

    Golang goroutine与channel调试技巧

    使用go run -race检测数据竞争,结合runtime.NumGoroutine监控协程数量,通过pprof分析阻塞调用栈,利用select超时避免永久阻塞,有效排查goroutine泄漏、死锁和数据竞争问题。 Go语言的goroutine和channel是并发编程的核心,但它们也带来了调试上…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • 《魔兽世界》将于6月11日开启国服回归技术测试

    《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试

    《%ign%ignore_a_1%re_a_1%》官方宣布,将于6月11日开启国服回归技术测试,时间为7天,并称可以在6月内正式开服,玩家们可以访问官网下载战网客户端并预下载“巫妖王之怒”客户端,技术测试详情见下图。 WordAi WordAI是一个AI驱动的内容重写平台 53 查看详情 以上就是《…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    200
  • 使用 Jupyter Notebook 进行探索性数据分析 用户投稿

    使用 Jupyter Notebook 进行探索性数据分析

    Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南 用户投稿

    如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南

    HTML表单通过标签构建,包含action和method属性定义数据提交目标与方式,常用input类型如text、password、email等适配不同输入需求,配合label、required、placeholder提升可用性,结合textarea、select、button等控件实现完整交互,是…

    程序猿的头像 程序猿
    2026年5月10日
    300
  • 前端缓存策略与JavaScript存储管理 用户投稿

    前端缓存策略与JavaScript存储管理

    根据数据特性选择合适的存储方式并制定清晰的读写与清理逻辑,能显著提升前端性能;合理运用Cookie、localStorage、sessionStorage、IndexedDB及Cache API,结合缓存策略与定期清理机制,可在保证用户体验的同时避免安全与性能隐患。 前端缓存和JavaScript存…

    程序猿的头像 程序猿
    2026年5月10日
    200
  • HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧 用户投稿

    HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧

    首先利用原生touch事件实现滑动判断,再通过preventDefault解决滚动冲突,接着引入Hammer.js处理复杂手势,最后通过优化点击区域、避免事件冲突和增加视觉反馈提升体验。 在移动端浏览器中,HTML5网页可以通过触摸事件实现手势操作,提升用户体验。虽然原生JavaScript提供了基…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 深入理解 Express.js 中 next() 参数的作用与中间件机制 用户投稿

    深入理解 Express.js 中 next() 参数的作用与中间件机制

    本文深入探讨 express.js 中间件函数中的 `next()` 参数。它负责将控制权传递给请求-响应周期中的下一个中间件或路由处理程序。文章将详细解释 `next()` 的工作原理、中间件的注册与执行顺序,以及不正确使用 `next()` 可能导致请求挂起的风险,并通过代码示例和实际应用场景,…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 创建指定大小并填充特定数据的Golang文件教程 用户投稿

    创建指定大小并填充特定数据的Golang文件教程

    本文将介绍如何使用Golang创建一个指定大小的文件,并用特定数据填充它。我们将使用 `os` 包提供的函数来创建和截断文件,从而实现快速生成大文件的目的。示例代码展示了如何创建一个10MB的文件,并将其填充为全零数据。掌握这些方法,可以方便地在例如日志系统或磁盘队列等场景中,预先创建测试文件或初始…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • JavaScript 闭包:理解闭包原理与内存泄漏问题 用户投稿

    JavaScript 闭包:理解闭包原理与内存泄漏问题

    闭包是函数访问其外部作用域变量的能力,即使外部函数已执行完毕。如 inner 函数引用 outer 中的 count,形成闭包,使变量持久存在。闭包本身无害,但可能因延长变量生命周期导致内存泄漏,例如事件监听器引用大对象时。若未及时清理 DOM 事件或定时器,闭包会阻止垃圾回收,造成内存占用过高。解…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • JavaScript 动态菜单点击高亮效果实现教程 用户投稿

    JavaScript 动态菜单点击高亮效果实现教程

    本教程详细介绍了如何使用 JavaScript 实现动态菜单的点击高亮功能。通过事件委托和状态管理,当用户点击菜单项时,被点击项会高亮显示(绿色),同时其他菜单项恢复默认样式(白色)。这种方法避免了不必要的DOM操作,提高了性能和代码可维护性,确保了无论点击方向如何,功能都能稳定运行。 动态菜单高亮…

    程序猿的头像 程序猿
    2026年5月10日
    200
  • c++如何实现UDP通信_c++基于UDP的网络通信示例 用户投稿

    c++如何实现UDP通信_c++基于UDP的网络通信示例

    UDP通信基于套接字实现,适用于实时性要求高的场景。1. 流程包括创建套接字、绑定地址(接收方)、发送(sendto)与接收(recvfrom)数据、关闭套接字;2. 服务端监听指定端口,接收客户端消息并回传;3. 客户端发送消息至服务端并接收响应;4. 跨平台需处理Winsock初始化与库链接,编…

    程序猿的头像 程序猿
    2026年5月10日
    100

发表回复

登录后才能评论
关注微信