前面的話
最近在做的個(gè)人項(xiàng)目中,需要對(duì)密碼進(jìn)行加密保存,對(duì)該操作的詳細(xì)步驟記錄如下
介紹
關(guān)于mongoose已經(jīng)寫過(guò)博客就不再贅述,下面主要介紹bcrypt
bcrypt是一個(gè)由兩個(gè)外國(guó)人根據(jù)Blowfish加密算法所設(shè)計(jì)的密碼散列函數(shù)。實(shí)現(xiàn)中bcrypt會(huì)使用一個(gè)加鹽的流程以防御彩虹表攻擊,同時(shí)bcrypt還是適應(yīng)性函數(shù),它可以借由增加迭代之次數(shù)來(lái)抵御暴力破解法
使用npm安裝即可
npm install --save bcrypt
用戶模型
下面來(lái)創(chuàng)建代碼用戶user的schema,用戶名不能重復(fù)
var mongoose = require('mongoose'), Schema = mongoose.Schema, bcrypt = require('bcrypt');var UserSchema = new Schema({ username: { type: String, required: true, index: { unique: true } }, password: { type: String, required: true }});module.exports = mongoose.model('User', UserSchema);加密
下面加入用戶模型的是Mongoose的中間件,該中間件使用pre前置鉤子,在密碼保存之前,自動(dòng)地把密碼變成hash。詳細(xì)代碼如下
let SALT_WORK_FACTOR = 5UserSchema.pre('save', function(next) { var user = this; //產(chǎn)生密碼hash當(dāng)密碼有更改的時(shí)候(或者是新密碼) if (!user.isModified('password')) return next(); // 產(chǎn)生一個(gè)salt bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) { if (err) return next(err); // 結(jié)合salt產(chǎn)生新的hash bcrypt.hash(user.password, salt, function(err, hash) { if (err) return next(err); // 使用hash覆蓋明文密碼 user.password = hash; next(); }); });});在node.bcrypt.js中SALT_WORK_FACTOR默認(rèn)使用的是10,這里設(shè)置為5
驗(yàn)證
加密之后,密碼原文被替換為密文了。我們無(wú)法解密,只能通過(guò)bcrypt的compare方法,對(duì)再次傳入的密碼和數(shù)據(jù)庫(kù)中保存的加密后的密碼進(jìn)行比較,如果匹配,則登錄成功
UserSchema.methods.comparePassword = function(candidatePassword, cb) { bcrypt.compare(candidatePassword, this.password, function(err, isMatch) { if (err) return cb(err); cb(null, isMatch); });};把上面的幾個(gè)步驟串在一起,完整代碼如下
var mongoose = require('mongoose'), Schema = mongoose.Schema, bcrypt = require('bcrypt'), SALT_WORK_FACTOR = 5;var UserSchema = new Schema({ username: { type: String, required: true, index: { unique: true } }, password: { type: String, required: true }});UserSchema.pre('save', function(next) { var user = this; // only hash the password if it has been modified (or is new) if (!user.isModified('password')) return next(); // generate a salt bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) { if (err) return next(err); // hash the password using our new salt bcrypt.hash(user.password, salt, function(err, hash) { if (err) return next(err); // override the cleartext password with the hashed one user.password = hash; next(); }); });});UserSchema.methods.comparePassword = function(candidatePassword, cb) { bcrypt.compare(candidatePassword, this.password, function(err, isMatch) { if (err) return cb(err); cb(null, isMatch); });};module.exports = mongoose.model('User', UserSchema);測(cè)試
把上面的代碼保存成user-model.js,然后運(yùn)行下面代碼來(lái)實(shí)際測(cè)試
var mongoose = require('mongoose'), User = require('./user-model');var connStr = 'mongodb://localhost:27017/mongoose-bcrypt-test';mongoose.connect(connStr, function(err) { if (err) throw err; console.log('Successfully connected to MongoDB');});// create a user a new uservar testUser = new User({ username: 'jmar777', password: 'Password123'});// save user to databasetestUser.save(function(err) { if (err) throw err; // fetch user and test password verification User.findOne({ username: 'jmar777' }, function(err, user) { if (err) throw err; // test a matching password user.comparePassword('Password123', function(err, isMatch) { if (err) throw err; console.log('Password123:', isMatch); // -> Password123: true }); // test a failing password user.comparePassword('123Password', function(err, isMatch) { if (err) throw err; console.log('123Password:', isMatch); // -> 123Password: false }); });});控制臺(tái)中輸入如下數(shù)據(jù):
數(shù)據(jù)庫(kù)數(shù)據(jù)如下:
以上這篇使用mongoose和bcrypt實(shí)現(xiàn)用戶密碼加密的示例就是小編分享給大家的全部?jī)?nèi)容了,希望能給大家一個(gè)參考,也希望大家多多支持VEVB武林網(wǎng)。
新聞熱點(diǎn)
疑難解答
圖片精選
