如何在 Node.js 中使用 bcrypt 加密密码

在 Web 开发中，保护用户密码是至关重要的。加密密码是保护用户隐私不被黑客侵入的重要措施之一。在 Node.js 中，使用 bcrypt 库以安全、可靠的方式加密用户密码。

什么是 bcrypt？

bcrypt 是一个密码散列函数，该函数是由Niels Provos​ ​和​ David Mazières​ 在1999年设计的。bcrypt 使用的是基于 Blowfish 算法的加密技术。bcrypt 哈希与单纯的 SHA256 或 MD5 哈希存在不同之处。由于 bcrypt 迭代次数较高，因此需要更长的时间来生成散列值。这使得黑客想要利用其暴力破解密码变得不切实际。

安装 bcrypt

要在 Node.js 中使用 bcrypt，首先需要安装 bcrypt 库。我们可以通过 npm 包管理器安装 bcrypt：

npm install bcrypt

使用 bcrypt 加密密码

下面的示例展示了如何使用 bcrypt 以安全的方式加密用户密码：

const bcrypt = require('bcrypt');

// 设定密码
const plainPassword = 'myPassword';

// 加密密码
bcrypt.hash(plainPassword, 10, function(err, hash) {
  // Store hash in your password DB.
  console.log('加密后的密码：', hash);
});

在上面的示例中，bcrypt.hash() 方法接受三个参数：

• plainPassword：需要加密的密码。
• saltRounds：表示 bcrypt 算法迭代加密的轮数，这里设置为 10。
• callback：回调函数，返回生成的哈希值。

执行上面的代码后，将输出加密后的密码。

比较密码

现在我们已经成功加密了用户的密码。当用户尝试登录时，我们需要比较用户提供的密码和存储在数据库中的加密密码。bcrypt 提供了一个 compare 方法，可以帮助我们完成这个任务。

下面的示例展示了如何使用 bcrypt 的 compare 方法比较密码：

const bcrypt = require('bcrypt');

// 安全存储在数据库中的加密密码
const storedPassword = '$2b$10$UF.S2.iqnysywqHHMdZ5Le1i2/NGsTl.WNuekjspt6WG3ogw4GMz6';

// 尝试使用输入的密码登录
const inputPassword = 'myPassword';

bcrypt.compare(inputPassword, storedPassword, function(err, result) {
    if (result) {
        console.log('用户密码正确')
    } else {
        console.log('用户密码错误')
    }
});

在上面的示例中，我们调用了 bcrypt.compare() 方法，该方法接受三个参数：

• inputPassword：用户在登录表单中输入的密码。
• storedPassword：安全存储在数据库中的用 bcrypt 加密的密码。
• callback：回调函数，返回比较结果。

如果用户输入的密码与存储在数据库中的密码相匹配，则输出“用户密码正确”，否则输出“用户密码错误”，以此保证账户安全。

总结

在本文中，我们介绍了 bcrypt 算法是如何通过迭代加密来保护用户密码的，以及如何在 Node.js 中使用 bcrypt 库进行加密和比较密码。使用 bcrypt 能够有效地保护用户密码，从而保障用户账户的安全。