前面的話
最近在做的個人項目中,需要對密碼進行加密保存,對該操作的詳細步驟記錄如下
介紹
關于mongoose已經寫過博客就不再贅述,下面主要介紹bcrypt
bcrypt是一個由兩個外國人根據Blowfish加密算法所設計的密碼散列函數。實現中bcrypt會使用一個加鹽的流程以防御彩虹表攻擊,同時bcrypt還是適應性函數,它可以借由增加迭代之次數來抵御暴力破解法
使用npm安裝即可
npm install --save bcrypt
用戶模型
下面來創建代碼用戶user的schema,用戶名不能重復
var mongoose = require('mongoose'),
Schema = mongoose.Schema,
bcrypt = require('bcrypt');var UserSchema = new Schema({
username: { type: String, required: true, index: { unique: true } },
password: { type: String, required: true }
});
module.exports = mongoose.model('User', UserSchema);
加密
下面加入用戶模型的是Mongoose的中間件,該中間件使用pre前置鉤子,在密碼保存之前,自動地把密碼變成hash。詳細代碼如下
let SALT_WORK_FACTOR = 5
UserSchema.pre('save', function(next) {
var user = this;
//產生密碼hash當密碼有更改的時候(或者是新密碼)
if (!user.isModified('password')) return next();
// 產生一個salt
bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) {
if (err) return next(err);
// 結合salt產生新的hash
bcrypt.hash(user.password, salt, function(err, hash) {
if (err) return next(err);
// 使用hash覆蓋明文密碼
user.password = hash;
next();
});
});
});
在node.bcrypt.js中SALT_WORK_FACTOR默認使用的是10,這里設置為5
驗證
加密之后,密碼原文被替換為密文了。我們無法解密,只能通過bcrypt的compare方法,對再次傳入的密碼和數據庫中保存的加密后的密碼進行比較,如果匹配,則登錄成功
UserSchema.methods.comparePassword = function(candidatePassword, cb) {
bcrypt.compare(candidatePassword, this.password, function(err, isMatch) {
if (err) return cb(err);
cb(null, isMatch);
});
};
把上面的幾個步驟串在一起,完整代碼如下
var mongoose = require('mongoose'),
Schema = mongoose.Schema,
bcrypt = require('bcrypt'),
SALT_WORK_FACTOR = 5;
var UserSchema = new Schema({
username: { type: String, required: true, index: { unique: true } },
password: { type: String, required: true }
});
UserSchema.pre('save', function(next) {
var user = this;
// only hash the password if it has been modified (or is new)
if (!user.isModified('password')) return next();
// generate a salt
bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) {
if (err) return next(err);
// hash the password using our new salt
bcrypt.hash(user.password, salt, function(err, hash) {
if (err) return next(err);
// override the cleartext password with the hashed one
user.password = hash;
next();
});
});
});
UserSchema.methods.comparePassword = function(candidatePassword, cb) {
bcrypt.compare(candidatePassword, this.password, function(err, isMatch) {
if (err) return cb(err);
cb(null, isMatch);
});
};
module.exports = mongoose.model('User', UserSchema);
測試
把上面的代碼保存成user-model.js,然后運行下面代碼來實際測試
var mongoose = require('mongoose'),
User = require('./user-model');
var connStr = 'mongodb://localhost:27017/mongoose-bcrypt-test';
mongoose.connect(connStr, function(err) {
if (err) throw err;
console.log('Successfully connected to MongoDB');
});
// create a user a new user
var testUser = new User({
username: 'jmar777',
password: 'Password123'
});
// save user to database
testUser.save(function(err) {
if (err) throw err;
// fetch user and test password verification
User.findOne({ username: 'jmar777' }, function(err, user) {
if (err) throw err;
// test a matching password
user.comparePassword('Password123', function(err, isMatch) {
if (err) throw err;
console.log('Password123:', isMatch); // -> Password123: true
});
// test a failing password
user.comparePassword('123Password', function(err, isMatch) {
if (err) throw err;
console.log('123Password:', isMatch); // -> 123Password: false
});
});
});
控制臺中輸入如下數據:
數據庫數據如下:
以上這篇使用mongoose和bcrypt實現用戶密碼加密的示例就是小編分享給大家的全部內容了,希望能給大家一個參考,也希望大家多多支持腳本之家。
您可能感興趣的文章:- Express下采用bcryptjs進行密碼加密的方法
- PHP更安全的密碼加密機制Bcrypt詳解
- 密碼哈希函數 Bcrypt的最大密碼長度限制詳解
- Java通過BCrypt加密過程詳解
