堆栈内存溢出
  繁体   English   中英

如何在mongoDB中存储加密pbkdf2?

[英]How to store crypto pbkdf2 in mongoDB?

 原文  2013-10-12 18:28:17       node.js/ mongodb/ mongoose

问题描述

我按照Express的身份验证示例,使用以下函数来哈希用户的密码: 

function hash(pwd, salt, fn) {
    // Bytesize
    var len = 128,

    // Iterations. ~300ms
        iterations = 12000;

    if (3 == arguments.length) {
        crypto.pbkdf2(pwd, salt, iterations, len, fn);
    } else {
        fn = salt;
        crypto.randomBytes(len, function(err, salt){
            if (err) return fn(err);
            salt = salt.toString('base64');
            crypto.pbkdf2(pwd, salt, iterations, len, function(err, hash){
                if (err) return fn(err);
                fn(null, salt, hash);
            });
        });
    }
}

如您所见, salt返回为以base64编码的字符串。 但是, hash将作为SlowBuffer返回。 尝试登录用户时,该功能也用于比较哈希值。

我的用户Mongoose模式指定hash应为String类型。 这最终以一种奇怪的方式存储了哈希,导致像这样的内容在我的mongo主机上造成了严重破坏:

mongodb中的hash的屏幕截图

我的问题是,是否有更好/更智能的方式将此hash存储在数据库中? 我尝试使用.toString('hex')对其进行编码,并且还尝试将User模式中的hash类型更改为buffer ,但是在尝试登录用户时,这两种方法都使所有比较都是错误的。在我的authenticate功能中,如下所示: 

function authenticate(name, pass, fn) {
    var findUser = function(username) {
        var deferred = Q.defer(),
            populateObj = [
                // list of paths to populate objects normally goes here
            ];
        User.findOne({ username: name }).populate(populateObj).exec(function (err, retrievedUser) {
            if (err || !retrievedUser) {
                console.log(err);
                deferred.reject('Cannot find user.');
            }
            else {
                deferred.resolve(retrievedUser);
            }
        });

        return deferred.promise;
    };

    findUser(name).then(function(data) {
        // apply the same algorithm to the POSTed password, applying
        // the hash against the pass / salt, if there is a match we
        // found the user
        hash(pass, data.salt, function(err, hash){
            if (err) return fn(err);
            if (hash == data.hash) return fn(null, data);
            return fn('Invalid password.');
        });
    }, function() {
        return fn('Failed to retrieve user.');
    });
}

1 个解决方案

解决方案1
 1 已采纳  2013-10-12 19:59:37

对我来说,将哈希作为十六进制字符串存储在数据库中是可以的(不能将它们“原始”存储在StringBuffer属性中): 

var crypto      = require('crypto');
var mongoose    = require('mongoose');
var client      = mongoose.connect('mongodb://localhost/test');
var UserSchema  = new mongoose.Schema({
  salt  : String,
  hash  : String
});

var User = mongoose.model('User', UserSchema);

hash('secret', function(err, salt, key) {
  new User({ salt : salt, hash : key.toString('hex') }).save(function(err, doc) {
    User.findById(doc._id, function(err, doc) {
      hash('secret', doc.salt, function(err, key) {
        console.log('eq', doc.hash === key.toString('hex'));
      });
    });
  });
});

(顺便说一下, crypto.pbkdf2crypto.randomBytes都具有同步副本)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何在 php hash_pbkdf2 中使用字节数组类型的 nodejs crypto pbkdf2 salt PHP和Node.JS-加密PBKDF2 使用pbkdf2加密的散列密码无法正常工作 node.js 加密 pbkdf2 返回未定义 没有提供回调给pbkdf2 Node.js加密PBKDF2函数在v8与v10上返回不同的值 节点加密pbkdf2在32位和64位计算机上产生不同的密钥 使用pbkdf2进行SALT和HASH 密码加密nodeJS PBKDF2 crypto.pbkdf2是异步的,我如何将其视为同步?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM