课程名称:web前端架构师
课程章节:第16周 第三章 加密方式选型以及返回结果的特殊处理
主讲老师:张轩
课程内容: 接口参数验证功能和错误信息处理
加密方式选型
几种加密方式
明文保存 plaintext - 坚决不能使用
md5 hash 保存 - 碰撞,彩虹表
MD5('123') = 202CB962AC59075B964B07152D234B70
username: viking
password: 202CB962AC59075B964B07152D234B70
md5 hash + salt(盐)保存
盐(Salt),在密码学中,是指在hash之前将明文内容(例如:密码)的任意固定位置插入特定的字符串。
MD5('123' + '1ck12b13k1jmjxrg1h0129h2lj') = '6c22ef52be70e11b6f3bcf0f672c96ce'
username: viking
password: 6c22ef52be70e11b6f3bcf0f672c96ce
salt: 1ck12b13k1jmjxrg1h0129h2lj
bcrypt
一种加盐的单向Hash,不可逆的加密算法,同一种明文(plaintext),每次加密后的密文都不一样,而且不可反向破解生成明文,破解难度很大。而且生成密码时间也比较长
bcrypt('123') = $2b$10$69SrwAoAUNC5F.gtLEvrNON6VQ5EX89vNqLEqU655Oy9PeT
md5(123 + 69SrwAoAUNC5F) = abc
md5(xyz + 69SrwAoAUNC5F) = efg
username: viking
password: $2b$10$69SrwAoAUNC5F.gtLEvrNON6VQ5EX89vNqLEqU655Oy9PeT
对比几种方式,bcrypt 最安全,所以选用 bcrypt
将 bcrypt 添加的应用
bcrypt 有现成的 egg.js 插件 egg-bcrypt,也可以使用 bcrypt.js
实现用户注册密码加密
课程中使用了 egg-bcrypt ,我这里就使用 bcrypt.js 来实现下
bcrypt 的使用
npm i bcryptjs
创建hash
import bcrypt from 'bcryptjs';
bcrypt.genSalt(10, function(err, salt) {
bcrypt.hash('B4c0/\/', salt, function(err, hash) {
});
});
校验密码
bcrypt.compare("B4c0/\/", hash, function(err, res) {
// res === true
});
编写密码加密与比对
加密
...
public genHash(pwd: string): Promise<string> {
return new Promise((resolve, reject) => {
bcrypt.genSalt(10, function(err, salt) {
if (err) return reject(err);
bcrypt.hash(pwd, salt, function(err, hash) {
if (err) return reject(err);
resolve(hash);
});
});
});
}
...
比对密码
public compare(pwd: string, hash: string):Promise<boolean> {
return new Promise((resolve, reject) => {
bcrypt.compare(pwd, hash, function(err, res) {
err ? reject(err) : resolve(res);
});
});
}
创建用户时加密密码
const hash = await this.genHash(password);
const user: Partial<User> = {
username,
password: hash,
email: username,
};
登录时,比对密码
public async signin() {
const { ctx, service, app } = this;
const errors = app.validator.validate(userRules, ctx.request.body);
// 参数是否输入争取
if (errors && errors.length) {
return ctx.helper.error({ ctx, errType: 'userValidateFail', err: errors });
}
const { username, password } = ctx.request.body;
// 登录 username 是否存在
const user = await service.user.findByUsername(username);
if (!user) {
return ctx.helper.error({ ctx, errType: 'signinValidateFail', err: errors });
}
// 比对密码
const verifyPwd = await service.user.compare(password, user.password);
if (!verifyPwd) {
return ctx.helper.error({ ctx, errType: 'signinValidateFail', err: errors });
}
ctx.helper.success({
ctx,
res: user,
msg: '登录成功',
});
}
就这样就完成了用户的创建密码加密和登录密码比对
随时随地看视频
