- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我注意到大多数 api 教程都说您应该在发送之前对密码进行加密。它还展示了如何解密它们。如果我能做到,他们就不能做到吗?
这是 medium 中的示例
UserSchema.pre('save', function (next) {
var user = this;
bcrypt.hash(user.password, 10, function (err, hash){
if (err) {
return next(err);
}
user.password = hash;
next();
})
});
他们说在这里散列它
bcrypt.compare(password, user.password, function (err, result)
当用户尝试登录时,他们会对其进行取消哈希处理。如果他们可以如此轻松地解散它,攻击者也不能解散它,这让我感到困惑吗?有人可以向我解释一下吗?
最佳答案
需要注意的是,虽然我已经编写了用户帐户系统并使用了安全哈希函数,但我不是任何类型的“专家”,但对于那些提出这个问题想知道是否真的必须经历的人使用安全哈希进行密码存储的麻烦:是的,您确实这样做。
此外,如果您仍然不确定,并且您对这些哈希方法的工作原理以及它们如何支持安全模型的理解感到不太舒服,那么您应该对您的工作人员诚实地说明这一点因为正确实现担保是困难的,需要经验和知识渊博的同行的审查。
无论如何,正如评论中提到的,专为密码存储而设计的安全哈希(例如 bcrypt
或 scrypt
)有一个 API 可以处理所有困惑的工作。我更熟悉 scrypt
但它们很相似。哈希密码看起来像一串随机字符,但字符串的开头是两个单独的部分,其中包含随机盐和哈希参数。
由于用于密码存储的安全哈希总是会将任意长度和组成的密码哈希为某个固定大小的哈希字符串,因此没有充分的理由将用户密码限制为任意长度(除了 1000 个字符之类的长度,只是为了避免DOS 攻击)。
关于javascript - 在数据库中散列密码有什么意义?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53210928/
我有一张 table People (First_Name, Last_Name)。此表包含与示例中一样重复的记录(并非所有行都重复): First_Name Last_Name John
我用 Java 编写过很多程序,之前也涉足过 C++。我在各种 C++ 书籍中阅读了有关指针的内容,并完成了书籍中的各种示例。 我了解指针的基础知识,但有一件事我一直不清楚。指针在现实世界中的应用是什
线 .Mappings(m => m.FluentMappings.AddFromAssemblyOf() 它有什么作用?它会在派生自 ClassMap 的 Product 类的程序集中查找任
我有用于打印数字的自定义打印功能。我制作了一个 ASCII 版本和一个 UTF-16LE 版本。 UTF-16LE 版本对 0-9 使用全角代码/字符,对十六进制使用 A-F。在调试我的函数时,我注意
这是我的代码片段: float ab(float); 以后 if(ab(temp)
我在一个项目文件中包含以下代码: //begin of the file ((window) => { 'use strict'; class View extends GSM.Event
我一直在到处寻找关于 ? 用法的正确解释。和 *。我注意到我可以使用以下方法拒绝所有用户的访问: 如果我想允许某个组,我应该在其上方添加下一行: 但是当我看到人们使用 ? 时,我开始忘记什么意思,
我正在关注 melon js tutorial .这是在我的 HUD.js 文件的顶部。 game.HUD = game.HUD || {} 我以前在其他例子中见过这个。 namespace.some
我正在处理一个包含数千行代码的文件。我正在第 700 行实现一个算法。我经常不得不离开这些行来检查文件中的其他方法。 导航回到我实际编码的地方通常很痛苦。如果我可以在第 700 行设置一个航路点并为其
我遇到了这段代码 do { if (higherQuality && w > targetWidth) { w /= 2; if (w &
uint8_t * const LCDMem = (uint8_t *) &LCDM3; 此代码在 msp430fg4618 培训套件中用于 lcd 配置。谁能解释一下上述代码的含义? 它允许使用 a
上下文 阅读一些内核代码。 问题 我不明白这行是什么意思 *(void **) &(int[2]){0,PAGE_SIZE}; 还有更多,这是什么意思 {0,PAGE_SIZE} 对我来说,它看起来不
我正在查看 Underscore.js 的源代码库,专门用于 map方法(该页面第 85 行左右,并复制到此处): _.map = function(obj, iterator, context)
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 9
我是一名优秀的程序员,十分优秀!