我正在寻找一些有关如何使用node.js和mongodb安全存储密码和其他敏感数据的示例。
我希望所有内容都使用一种独特的盐,该盐将与哈希一起存储在mongo文档中。
为了进行身份验证,我是否仅需要盐析和加密输入并将其与存储的哈希值匹配?
我是否应该解密该数据,如果应该解密?
私钥或什至加盐方法如何安全地存储在服务器上?
我听说AES和Blowfish都是不错的选择,我应该使用什么?
任何有关如何设计的示例都将非常有用!
谢谢!
使用这个:https : //github.com/ncb000gt/node.bcrypt.js/
bcrypt是仅针对该用例的少数算法之一。您永远都不能解密密码,只能验证用户输入的明文密码与存储/加密的哈希匹配。
bcrypt非常易于使用。这是我的Mongoose用户架构的片段(在CoffeeScript中)。请确保使用异步功能,因为bycrypt速度很慢(故意这样做)。
class User extends SharedUser defaults: _.extend {domainId: null}, SharedUser::defaults #Irrelevant bits trimmed... password: (cleartext, confirm, callback) -> errorInfo = new errors.InvalidData() if cleartext != confirm errorInfo.message = 'please type the same password twice' errorInfo.errors.confirmPassword = 'must match the password' return callback errorInfo message = min4 cleartext if message errorInfo.message = message errorInfo.errors.password = message return callback errorInfo self = this bcrypt.gen_salt 10, (error, salt)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo bcrypt.encrypt cleartext, salt, (error, hash)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo self.attributes.bcryptedPassword = hash return callback() verifyPassword: (cleartext, callback) -> bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)-> if error return callback(new errors.InternalError(error.message)) callback null, result
另外,请阅读本文,这应该使您确信bcrypt是一个不错的选择,并可以帮助您避免“变得井井有条”。