在任何用户认证系统中,直接存储用户明文密码都是极其危险的做法。一旦数据库泄露,所有用户密码将暴露无遗。为了解决这个问题,我们采用密码哈希技术。
bcrypt 是 Node.js 生态系统中一个非常流行的密码哈希库。它基于 OpenBSD 的 bcrypt 算法,提供了强大的密码保护能力。然而,bcrypt 模块底层依赖 C++ 绑定,这意味着它在安装和运行时需要编译 C++ 代码。在某些开发或部署环境中,这可能导致兼容性问题,例如缺少编译工具链、特定的 Node.js 版本与 C++ 绑定不兼容,或者出现类似 Cannot find module napi-v3/bcrypt_lib.node 的错误。当这些问题发生时,即使 bcrypt.compare 函数没有直接抛出错误,也可能无法正确执行比较逻辑,导致所有密码验证失败。
为了避免 bcrypt 模块可能出现的兼容性问题,我们强烈推荐使用 bcryptjs。bcryptjs 是 bcrypt 算法的纯 JavaScript 实现,它提供了与 bcrypt 模块几乎完全一致的 API,但完全消除了对 C++ 绑定的依赖。这意味着它在任何 Node.js 环境中都能稳定运行,而无需担心编译问题。
要将 bcrypt 替换为 bcryptjs,只需通过 npm 安装 bcryptjs 即可:
npm install bcryptjs
在代码中,你可以继续使用 require('bcryptjs') 并将其赋值给 bcrypt 变量,以便最大程度地减少代码改动。
const bcrypt = require('bcryptjs'); // 引入 bcryptjs接下来,我们将演示如何在你的 Node.js Express 应用中集成 bcryptjs 来处理用户注册和登录时的密码。
在用户注册时,我们需要对用户提供的明文密码进行哈希处理,然后将哈希后的密码存储到数据库中。bcryptjs 提供了 hash() 方法来完成此操作。
基于WEB的企业计算,php+MySQL进行开发,性能稳定可靠,数据存取集中控制,避免了数据泄漏的可能,采用加密数据传递参数,保护系统数据安全,多级的权限控制,完善的密码验证与登录机制更加强了系统安全性。
1377
// signup endpoint
app.post('/signup', async (req, res) => {
try {
const {
firstName,
lastName,
email,
role,
password
} = req.body;
// 检查邮箱是否已存在
const existingUser = await User.findOne({ email });
if (existingUser) {
return res.status(400).json({ message: 'Email already exists' });
}
// 设置默认密码(生产环境不推荐,应强制用户提供密码)
let plainTextPassword = password;
if (!plainTextPassword) {
plainTextPassword = 'defaultPassword123';
}
// 对密码进行哈希处理
// bcryptjs.hash() 方法可以直接接受明文密码和盐轮数 (saltRounds)
// saltRounds 决定了哈希的计算强度,推荐值为 10-12
const saltRounds = 10;
const hashedPassword = await bcrypt.hash(plainTextPassword, saltRounds);
// 创建新用户对象
const newUser = new User({
firstName,
lastName,
email,
role,
password: hashedPassword, // 存储哈希后的密码
});
// 保存用户到数据库
await newUser.save();
// 生成 JWT 等后续认证逻辑
const token = jwt.sign({ email: newUser.email }, secretKey);
const expirationDate = new Date().getTime() + 3600000; // 1小时过期
const userResponse = {
firstName: newUser.firstName,
lastName: newUser.lastName,
email: newUser.email,
role: newUser.role,
id: newUser._id,
_token: token,
_tokenExpirationDate: expirationDate,
};
res.status(201).json(new AuthResponseData(userResponse));
} catch (error) {
console.error('Error during signup:', error);
res.status(500).json({ message: 'Internal server error' });
}
});说明:
在用户登录时,我们需要获取用户输入的密码,并将其与数据库中存储的哈希密码进行比较。bcryptjs 提供了 compare() 方法来安全地执行此操作。
// Login endpoint
app.post('/login', async (req, res) => {
try {
const { email, password: userEnteredPassword } = req.body; // 重命名 password 以避免混淆
// 在数据库中查找用户
const user = await User.findOne({ email });
if (!user) {
// 用户不存在,返回通用错误消息以避免泄露用户信息
return res.status(401).json({ message: 'Invalid email or password' });
}
const hashedPasswordFromDb = user.password;
// 比较用户输入的密码和数据库中存储的哈希密码
// bcryptjs.compare() 也是一个异步操作
const passwordMatch = await bcrypt.compare(userEnteredPassword, hashedPasswordFromDb);
if (!passwordMatch) {
// 密码不匹配
return res.status(401).json({ message: 'Invalid email or password' });
}
// 密码匹配成功,生成 JWT
const token = jwt.sign({ email: user.email }, secretKey);
const expirationDate = new Date().getTime() + 3600000; // 1小时过期
const loggedInUser = {
firstName: user.firstName,
lastName: user.lastName,
email: user.email,
role: user.role,
id: user._id,
_token: token,
_tokenExpirationDate: expirationDate,
};
res.status(200).json(new AuthResponseData(loggedInUser));
} catch (error) {
console.error('Error during login process:', error);
res.status(500).json({ message: 'Internal server error' });
}
});说明:
通过将 bcrypt 替换为 bcryptjs,我们可以有效解决因 C++ 绑定导致的兼容性问题,从而确保 Node.js 应用中密码哈希和验证功能的稳定运行。遵循上述指南,利用 bcryptjs 的异步 API 和推荐的最佳实践,你将能够构建一个安全、可靠的用户认证系统,有效保护用户密码数据。
以上就是Node.js 中使用 bcryptjs 安全地存储与验证用户密码的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
676
收藏
