Node.jsおよびMongoDBを使用したパスワードの保存
Node.jsとmongodbを使用してパスワードやその他の機密データを安全に保存する方法の例を探しています。
私はすべてがmongoドキュメントのハッシュと一緒に保存するユニークなソルトを使用することを望みます。
認証のために、入力をソルトして暗号化し、保存されたハッシュと一致させる必要がありますか?
このデータを復号化する必要がありますか?その場合、どうすればよいですか?
秘密鍵、または塩漬け方法はどのようにサーバーに安全に保存されますか?
AESとBlowfishはどちらも良い選択肢だと聞いたことがありますが、何を使うべきですか?
これを設計する方法の例はすばらしく役立つでしょう!
ありがとう!
これを使用してください: https://github.com/ncb000gt/node.bcrypt.js/
bcryptは、このユースケースに焦点を合わせた数少ないアルゴリズムの1つです。パスワードを復号化することは決してできません。ユーザーが入力したクリアテキストパスワードが保存/暗号化されたハッシュと一致することを確認するだけです。
bcryptは非常に簡単に使用できます。 Mongoose Userスキーマ(CoffeeScript内)の抜粋を次に示します。 bycryptは(意図的に)遅いため、必ず非同期関数を使用してください。
class User extends SharedUser
defaults: _.extend {domainId: null}, SharedUser::defaults
#Irrelevant bits trimmed...
password: (cleartext, confirm, callback) ->
errorInfo = new errors.InvalidData()
if cleartext != confirm
errorInfo.message = 'please type the same password twice'
errorInfo.errors.confirmPassword = 'must match the password'
return callback errorInfo
message = min4 cleartext
if message
errorInfo.message = message
errorInfo.errors.password = message
return callback errorInfo
self = this
bcrypt.gen_salt 10, (error, salt)->
if error
errorInfo = new errors.InternalError error.message
return callback errorInfo
bcrypt.encrypt cleartext, salt, (error, hash)->
if error
errorInfo = new errors.InternalError error.message
return callback errorInfo
self.attributes.bcryptedPassword = hash
return callback()
verifyPassword: (cleartext, callback) ->
bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)->
if error
return callback(new errors.InternalError(error.message))
callback null, result
また、 この記事では、bcryptが適切な選択であることを確信させるはずです を読み、「よくて真に効果的」にならないようにしてください。
これは、これまでに出会った中で最高の例であり、node.bcrypt.jsを使用しています http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt