Хранение паролей с узлом.js и MongoDB
Я ищу некоторые примеры, как безопасно хранить пароли и другие конфиденциальные данные через узел.js и mongodb.
Я хочу, чтобы все использовали уникальную соль, которую я буду хранить вместе с хэшем в документе mongo.
для аутентификации мне нужно просто посолить и зашифровать вход и сопоставить его с сохраненным хэшем?
должен ли я когда-нибудь расшифровать эти данные, и если да, то как это сделать?
Как секретные ключи, или даже методы засолки надежно хранятся на сервере?
Я слышал, что AES и Blowfish - это хорошие варианты, что я должен использовать?
любые примеры того, как проектировать это было бы замечательно полезно!
спасибо!
2 ответов:
используйте это:https://github.com/ncb000gt/node.bcrypt.js/
bcrypt является одним из немногих алгоритмов, ориентированных на этот случай использовать. Вы никогда не сможете расшифровать свои пароли, только убедитесь, что введенный пользователем пароль открытого текста соответствует сохраненному/зашифрованному хэшу.
bcrypt очень проста в использовании. Вот фрагмент из моей схемы пользователя Мангуста (в CoffeeScript). Обязательно используйте асинхронные функции, так как bycrypt работает медленно (ВКЛ цель.)
class User extends SharedUser defaults: _.extend {domainId: null}, SharedUser::defaults #Irrelevant bits trimmed... password: (cleartext, confirm, callback) -> errorInfo = new errors.InvalidData() if cleartext != confirm errorInfo.message = 'please type the same password twice' errorInfo.errors.confirmPassword = 'must match the password' return callback errorInfo message = min4 cleartext if message errorInfo.message = message errorInfo.errors.password = message return callback errorInfo self = this bcrypt.gen_salt 10, (error, salt)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo bcrypt.encrypt cleartext, salt, (error, hash)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo self.attributes.bcryptedPassword = hash return callback() verifyPassword: (cleartext, callback) -> bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)-> if error return callback(new errors.InternalError(error.message)) callback null, resultи эта статья, которая должна убедить вас, что bcrypt является хорошим выбором и помочь вам избежать стать "хорошо и по-настоящему effed".
Это самый лучший пример с которым я столкнулся на сегодняшний день, использует узел.осуществляется.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt
Comments