使用Node.js和MongoDB存储密码
我正在寻找一些有关如何使用node.js和mongodb安全存储密码和其他敏感数据的示例。
我希望所有内容都使用一种独特的盐,该盐将与哈希一起存储在mongo文档中。
为了进行身份验证,我是否仅需要盐析和加密输入并将其与存储的哈希值匹配?
我是否应该解密该数据,如果应该解密?
私钥或什至加盐方法如何安全地存储在服务器上?
我听说AES和Blowfish都是不错的选择,我应该使用什么?
任何有关如何设计的示例都将非常有用!
谢谢!
问题答案:
使用这个:https :
//github.com/ncb000gt/node.bcrypt.js/
bcrypt是仅针对该用例的少数算法之一。您永远都不能解密密码,只能验证用户输入的明文密码与存储/加密的哈希匹配。
bcrypt非常易于使用。这是我的Mongoose用户架构的片段(在CoffeeScript中)。请确保使用异步功能,因为bycrypt速度很慢(故意这样做)。
class User extends SharedUser
defaults: _.extend {domainId: null}, SharedUser::defaults
#Irrelevant bits trimmed...
password: (cleartext, confirm, callback) ->
errorInfo = new errors.InvalidData()
if cleartext != confirm
errorInfo.message = 'please type the same password twice'
errorInfo.errors.confirmPassword = 'must match the password'
return callback errorInfo
message = min4 cleartext
if message
errorInfo.message = message
errorInfo.errors.password = message
return callback errorInfo
self = this
bcrypt.gen_salt 10, (error, salt)->
if error
errorInfo = new errors.InternalError error.message
return callback errorInfo
bcrypt.encrypt cleartext, salt, (error, hash)->
if error
errorInfo = new errors.InternalError error.message
return callback errorInfo
self.attributes.bcryptedPassword = hash
return callback()
verifyPassword: (cleartext, callback) ->
bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)->
if error
return callback(new errors.InternalError(error.message))
callback null, result
另外,请阅读本文,这应该使您确信bcrypt是一个不错的选择,并可以帮助您避免“变得井井有条”。
-
问题内容: 目前,我使用angular-file- upload处理图像上传,我只是将图像保存到服务器的文件系统中,并在HTML中引用它。但是,我想尝试将图像直接存储在为博客文章定义的架构内的数据库中。 我要这样做,这样我就可以拥有一个存储图像本身的字段。我当时想我可以像以前一样上传图像,但是在上传图像之后将其转换并以二进制(或其他形式)存储在Mongo中。这可能吗? 谢谢! 问题答案: 下面的示
-
问题内容: 我将MongoDB与本机节点驱动程序一起使用,需要准确存储可能大于int最大值2147483647的数字。在跟踪使用情况时,我将需要能够增加数字。我有什么选择? 我正在用猫鼬。我遇到的问题是,当我过去2147483647时,它会将数字转换为双精度。如何强制Mongoose使用64位long int ? 我的架构如下所示 我的样子是这样 问题答案: 您现在可以使用该插件在Mongoose
-
存储密码 用户名和密码组合必须存储在某处。以下列表提到了一些受欢迎的地方: 文字:你现在应该熟悉这种方法。 SQL数据库:FreeRADIUS包含与SQL数据库交互的模块。 MySQL非常受欢迎,并且广泛用于FreeRADIUS。 目录:Microsof的Actve目录或Novell的电子目录是典型的企业级目录。OpenLDAP是一种流行的开源替代方案。 FreeRADIUS可以使用的用户文件和S
-
过去一段时间以来, 许多的网站遭遇用户密码数据泄露事件, 这其中包括顶级的互联网企业–Linkedin, 国内诸如CSDN,该事件横扫整个国内互联网,随后又爆出多玩游戏800万用户资料被泄露,另有传言人人网、开心网、天涯社区、世纪佳缘、百合网等社区都有可能成为黑客下一个目标。层出不穷的类似事件给用户的网上生活造成巨大的影响,人人自危,因为人们往往习惯在不同网站使用相同的密码,所以一家“暴库”,全部
-
本文向大家介绍Node.js 使用Mongoose和Express.js路由将数据保存到MongoDB,包括了Node.js 使用Mongoose和Express.js路由将数据保存到MongoDB的使用技巧和注意事项,需要的朋友参考一下 示例 设定 首先,使用以下命令安装必要的软件包: 代码 然后,将依赖项添加到server.js文件中,创建数据库模式和集合名称,创建Express.js服务器,
-
问题内容: 我在由.NET生成的数据库中存储SHA256用户密码哈希,我需要能够使用Node.js进行检查。唯一的问题是.NET和Node.js为相同的密码创建不同的哈希。 。净: Node.js(使用加密): 我找到了,但是无法弄清楚如何实施他的解决方案。 问题答案: 编辑:您正在C#中使用UTF-16,必须在两种语言中使用相同的编码: Node.js: C#: