Подтвердить что ты не робот

Сохранение паролей с помощью Node.js и MongoDB

Я ищу несколько примеров безопасного хранения паролей и других конфиденциальных данных с помощью node.js и mongodb.

Я хочу, чтобы все использовало уникальную соль, которую я буду хранить рядом с хешем в документе mongo.

Для аутентификации мне нужно просто солить и зашифровать вход и сопоставить его с сохраненным хешем?

Должен ли я когда-нибудь расшифровывать эти данные, и если да, то как мне это сделать?

Как безопасно хранятся секретные ключи или даже методы соления на сервере?

Я слышал, что AES и Blowfish являются хорошими вариантами, что я должен использовать?

Любые примеры того, как это сделать, было бы чудесно полезно!

Спасибо!

4b9b3361

ОТВЕТЫ

Ответ 1

Используйте это: https://github.com/ncb000gt/node.bcrypt.js/

bcrypt - один из немногих алгоритмов, ориентированных на этот прецедент. Вы никогда не сможете расшифровать свои пароли, только убедитесь, что введенный пользователем пароль открытого текста соответствует сохраненному/зашифрованному хешу.

bcrypt очень проста в использовании. Вот фрагмент моей схемы пользователя Mongoose (в CoffeeScript). Обязательно используйте async-функции, так как bycrypt работает медленно (специально).

class User extends SharedUser
  defaults: _.extend {domainId: null}, SharedUser::defaults

  #Irrelevant bits trimmed...

  password: (cleartext, confirm, callback) ->
    errorInfo = new errors.InvalidData()
    if cleartext != confirm
      errorInfo.message = 'please type the same password twice'
      errorInfo.errors.confirmPassword = 'must match the password'
      return callback errorInfo
    message = min4 cleartext
    if message
      errorInfo.message = message
      errorInfo.errors.password = message
      return callback errorInfo
    self = this
    bcrypt.gen_salt 10, (error, salt)->
      if error
        errorInfo = new errors.InternalError error.message
        return callback errorInfo
      bcrypt.encrypt cleartext, salt, (error, hash)->
        if error
          errorInfo = new errors.InternalError error.message
          return callback errorInfo
        self.attributes.bcryptedPassword = hash
        return callback()

  verifyPassword: (cleartext, callback) ->
    bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)->
      if error
        return callback(new errors.InternalError(error.message))
      callback null, result

Кроме того, прочитайте эту статью, которая должна убедить вас в том, что bcrypt - хороший выбор и поможет вам избежать "хорошего и по-настоящему эффективного".