一、什么是bcryptjs
bcryptjs是一个用于密码哈希的JS库,可以将密码的加密处理迭代多次、以饱和度(salt)作为参考加密等级,安全性更高,且处理速度较快。 bcryptjs是 JavaScript 语言版本的实现,采用 CommonJS 规范,可以直接用于 Node.js 的应用程序中,也可以转化为其他版本的 JavaScript 语言使用。 下面是一个基于bcryptjs的加密示例:
const bcrypt = require('bcryptjs');
const saltRounds = 10;
const myPlaintextPassword = 'myPassword';
bcrypt.genSalt(saltRounds, function(err, salt) {
bcrypt.hash(myPlaintextPassword, salt, function(err, hash) {
// Store hash in your password DB.
});
});
上面的例子中,"myPassword" 是原始密码,通过调用 bcrypt.hash 方法进行加密,bcrypt.genSalt 方法提供了一个饱和度,这个饱和度作为第二个参数传递到 hash 方法以增加加密强度。
二、bcryptjs的安全性
bcryptjs 的安全性来自于它的加密方式:salted hashing。 一般的哈希函数是单向的,这种函数的输出无法确定输入,这就是为什么密码哈希适合的原因。在存储密码时,哈希函数会对原密码进行加密处理。 然而,这种方式并不安全,因为使用相同的算法和加密方式,相同的原始密码会得到相同的加密密文。这时,黑客可以通过破解密文得到原始文本,并将其与其他帐户中存储的哈希值进行比较,从而得到其他帐户的访问权限。 bcryptjs 的加密过程中加入了一些随机字符串,称之为盐(salt)。由于这些盐值是随机生成的,每个用户的盐值都不同,即使两个用户使用相同的密码,它们的哈希值也是不同的。 攻击者无法使用一个已知的哈希来推断原始密码,即使他们拥有其他用户的哈希。
三、bcryptjs使用的注意事项
- bcryptjs 的密码操作是同步的,这意味着它会阻塞 Node.js 的事件循环。
- 默认情况下,bcryptjs 会使用 10 个哈希轮次。这个数字越大,安全性越高,但操作越慢。如果环境要求更强的安全性,可以增加哈希轮次。 下面的代码示例将密码的哈希轮次增加到 12:
bcrypt.hash(myPlaintextPassword, 12, function(err, hash) {
// Store hash in your password DB.
});
- 当使用
bcrypt.hash()方法时,应该确保原始密码的长度不超过72个字符,否则加密结果可能出现不可预测的行为。 - 当使用
bcrypt.compare()方法时,它会自动从存储在哈希中的值中提取出盐。因此,只需要从数据库中获取哈希并将它与明文密码进行比较即可。bcrypt.compare()方法返回一个Boolean值,用于指示密码是否匹配。 下面的代码示例是一个比较函数:
bcrypt.compare(myPlaintextPassword, hash, function(err, result) {
// result == true
});
四、结语
bcryptjs 的安全性以及加密方式是密码哈希中的佼佼者。 使用 bcryptjs 可以使密码的处理变得更安全,更高效。 通过对 bcryptjs 的学习,我们可以更好地理解密码哈希的价值、工作原理以及使用它为何是安全的。
