[1]介紹 [2]用戶模型 [3]加密 [4]驗證 [5]測試 ...
前面的話
最近在做的個人項目中,需要對密碼進行加密保存,對該操作的詳細步驟記錄如下
介紹
關於mongoose已經寫過博客就不再贅述,下麵主要介紹bcrypt
bcrypt是一個由兩個外國人根據Blowfish加密演算法所設計的密碼散列函數。實現中bcrypt會使用一個加鹽的流程以防禦彩虹表攻擊,同時bcrypt還是適應性函數,它可以藉由增加迭代之次數來抵禦暴力破解法
使用npm安裝即可
npm install --save bcrypt
用戶模型
下麵來創建代碼用戶user的schema,用戶名不能重覆
var mongoose = require('mongoose'), Schema = mongoose.Schema, bcrypt = require('bcrypt');var UserSchema = new Schema({ username: { type: String, required: true, index: { unique: true } }, password: { type: String, required: true } }); module.exports = mongoose.model('User', UserSchema);
加密
下麵加入用戶模型的是Mongoose的中間件,該中間件使用pre前置鉤子,在密碼保存之前,自動地把密碼變成hash。詳細代碼如下
let SALT_WORK_FACTOR = 5 UserSchema.pre('save', function(next) { var user = this; //產生密碼hash當密碼有更改的時候(或者是新密碼) if (!user.isModified('password')) return next(); // 產生一個salt bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) { if (err) return next(err); // 結合salt產生新的hash bcrypt.hash(user.password, salt, function(err, hash) { if (err) return next(err); // 使用hash覆蓋明文密碼 user.password = hash; next(); }); }); });
在node.bcrypt.js中SALT_WORK_FACTOR預設使用的是10,這裡設置為5
驗證
加密之後,密碼原文被替換為密文了。我們無法解密,只能通過bcrypt的compare方法,對再次傳入的密碼和資料庫中保存的加密後的密碼進行比較,如果匹配,則登錄成功
UserSchema.methods.comparePassword = function(candidatePassword, cb) { bcrypt.compare(candidatePassword, this.password, function(err, isMatch) { if (err) return cb(err); cb(null, isMatch); }); };
把上面的幾個步驟串在一起,完整代碼如下
var mongoose = require('mongoose'), Schema = mongoose.Schema, bcrypt = require('bcrypt'), SALT_WORK_FACTOR = 5; var UserSchema = new Schema({ username: { type: String, required: true, index: { unique: true } }, password: { type: String, required: true } }); UserSchema.pre('save', function(next) { var user = this; // only hash the password if it has been modified (or is new) if (!user.isModified('password')) return next(); // generate a salt bcrypt.genSalt(SALT_WORK_FACTOR, function(err, salt) { if (err) return next(err); // hash the password using our new salt bcrypt.hash(user.password, salt, function(err, hash) { if (err) return next(err); // override the cleartext password with the hashed one user.password = hash; next(); }); }); }); UserSchema.methods.comparePassword = function(candidatePassword, cb) { bcrypt.compare(candidatePassword, this.password, function(err, isMatch) { if (err) return cb(err); cb(null, isMatch); }); }; module.exports = mongoose.model('User', UserSchema);
測試
把上面的代碼保存成user-model.js,然後運行下麵代碼來實際測試
var mongoose = require('mongoose'), User = require('./user-model'); var connStr = 'mongodb://localhost:27017/mongoose-bcrypt-test'; mongoose.connect(connStr, function(err) { if (err) throw err; console.log('Successfully connected to MongoDB'); }); // create a user a new user var testUser = new User({ username: 'jmar777', password: 'Password123' }); // save user to database testUser.save(function(err) { if (err) throw err; // fetch user and test password verification User.findOne({ username: 'jmar777' }, function(err, user) { if (err) throw err; // test a matching password user.comparePassword('Password123', function(err, isMatch) { if (err) throw err; console.log('Password123:', isMatch); // -> Password123: true }); // test a failing password user.comparePassword('123Password', function(err, isMatch) { if (err) throw err; console.log('123Password:', isMatch); // -> 123Password: false }); }); });
控制臺中輸入如下數據:
資料庫數據如下:
