用Node.js和MongoDB存储密码
我正在寻找一些如何使用node.js和mongodb安全地存储密码和其他敏感数据的例子。
我希望一切都使用一个独特的盐,我将存储在mongo文件中的哈希旁边。
对于身份validation,我只需要salt和encryptioninput,并将其匹配到存储的散列?
我是否需要解密这些数据?如果有,我该怎么做?
私人密钥,甚至腌制方法如何安全地存储在服务器上?
我听说AES和Blowfish都是很好的select,我应该用什么?
如何devise这个例子将是非常有帮助的!
谢谢!
使用这个: https : //github.com/ncb000gt/node.bcrypt.js/
bcrypt是针对这个用例的几个algorithm之一。 您永远不能解密您的密码,只validation用户input的明文密码与存储/encryption的哈希匹配。
bcrypt非常简单易用。 这是我的Mongoose用户架构(在CoffeeScript中)的一个片段。 一定要使用async函数,因为encryption很慢(故意的)。
class User extends SharedUser defaults: _.extend {domainId: null}, SharedUser::defaults #Irrelevant bits trimmed... password: (cleartext, confirm, callback) -> errorInfo = new errors.InvalidData() if cleartext != confirm errorInfo.message = 'please type the same password twice' errorInfo.errors.confirmPassword = 'must match the password' return callback errorInfo message = min4 cleartext if message errorInfo.message = message errorInfo.errors.password = message return callback errorInfo self = this bcrypt.gen_salt 10, (error, salt)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo bcrypt.encrypt cleartext, salt, (error, hash)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo self.attributes.bcryptedPassword = hash return callback() verifyPassword: (cleartext, callback) -> bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)-> if error return callback(new errors.InternalError(error.message)) callback null, result 另外,阅读这篇文章,这应该说服你,bcrypt是一个不错的select,并且帮助你避免变得“真正的效果”。
这是我迄今为止遇到的最好的例子,使用node.bcrypt.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt
