nodejs 中的 bcrypt (2) : bcrypt 浅析

最新推荐文章于 2024-03-24 14:13:13 发布
最新推荐文章于 2024-03-24 14:13:13 发布
阅读量1.6k 收藏 1
点赞数 3
分类专栏: node-js bcrypt 文章标签: nodejs 密码 web bcrypt bcrypt-js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Beijiyang999/article/details/78438962
版权

上一篇文章 nodejs 中的 bcrypt (1) : bcrypt 的特点与应用 通过一个 web 用户注册登录的案例,简述了 bcrypt 的特点、nodejs 中的 bcrypt 包,并附上了具体代码。

代码跑通了,但一些疑惑没有解决,比如:

  • 加盐哈希后得到的一长串字符串包含什么信息?
  • 对同一个密码,每次加盐哈希的得到的字符串都不一致,那么比对密码的过程是如何进行的?
  • 对比密码使用的 bcrypt.compare() 方法,其参数里并没有 salt 。是这个过程里盐值没用,还是它深藏别处?

这篇来进行解答。

第一个问题

加盐哈希后得到的一长串字符串包含什么信息?

运行以下这段代码三次

testHash.js

const bcrypt = require('bcrypt-nodejs')
const SALT_FACTOR = 10

bcrypt.genSalt(12, function (err, salt) {
  if (err) return next(err)
  bcrypt.hash('mypassword', salt, null, function (err, hash) {
    if (err) return next(err)
    console.log(hash);
  })
})

分别得到三个60位的字符串

$2a$10$dsZFPb.m2b6cXuw.fQAjneRk7u33cF9ZrWqywX4j5K5ymlhLFwRMS
$2a$10$mWm.uX4tSUKqa4Rk1/DQRuqm3zd.S5EaaWiIEQVrq8YxiebiqkMwy
$2a$10$oMpGJ3NhLD7OtX8lUCq6bOYr04SAgq00J2yLf/TsHZMulnmO9yJGi

容易发现,前7位都是相同的 $2a$10$

将参数 SALT_FACTOR 的值改为 12 ,再运行三次

$2a$12$5XhpRItT.wGNyVJk67QMPOchZQsHwBprwNBLEOot8cJOryihRa74W
$2a$12$0DK/6Q48hUkqq0im/9QyHee4Y/vrbchzmuWNHvapRr6A6aGGrdBxS
$2a$12$JUVxAjk5/ZStnxHgvK2IDetlWfD1jCpT69/cgkgA0vV49SmwS3RfG

这三个字符串的前七位也是相同的: $2a$12$

与之前的三个字符串相比,第 5 第 6 位的值从 10,变成了 12。与各自的参数 SALT_FACTOR 一致。

这个参数就是 bcrypt cost parameter ,它决定了迭代的次数,即哈希计算的“缓慢程度”(见上一篇)。

前 4 位的 $2a$ 则指示了算法的版本。老版本有 $2$ ,更新的版本有 $2x$ $2y$ $2b$

字符串的后半段,前 22 位是 salt 盐值,后 31 位就是对应密码的哈希部分。

总结一下

$2a$10$i5btSOiulHhaPHPbgNUGdObga/GC.AVG/y5HHY1ra7L0C9dpCaw8u
  • 2a 指示算法版本
  • 10 是 cost 参数
  • i5btSOiulHhaPHPbgNUGdO 是 salt
  • 最后的31位 bga/GC.AVG/y5HHY1ra7L0C9dpCaw8u 对应密码

这也回答了第一个问题。

后两个问题

比对密码的过程是如何进行的?

查看 bcrypt-nodejs 的源码,其中的 compareSync 函数:

function compareSync(data, encrypted) {
    /*
        data - [REQUIRED] - data to compare.
        encrypted - [REQUIRED] - data to be compared to.
    */

    if(typeof data != "string" ||  typeof encrypted != "string") {
        throw "Incorrect arguments";
    }

    var encrypted_length = encrypted.length;

    if(encrypted_length != 60) {
        return false;
    }

    var same = true;
    var hash_data = hashSync(data, encrypted.substr(0, encrypted_length-31));
    var hash_data_length = hash_data.length;

    same = hash_data_length == encrypted_length;

    var max_length = (hash_data_length < encrypted_length) ? hash_data_length : encrypted_length;

    // to prevent timing attacks, should check entire string
    // don't exit after found to be false
    for (var i = 0; i < max_length; ++i) {
        if (hash_data_length >= i && encrypted_length >= i && hash_data[i] != encrypted[i]) {
            same = false;
        }
    }

    return same;
}

函数的两个参数中,data 相当于密码明文,encrypted 相当于从数据库里读出的哈希字符串。

结合第一个问题中提到的知识,哈希值中 substr(0, encrypted_length-31) 这一段是salt。

所以,匹配的思路是:从哈希值字符串中提取出salt,将其添加到密码明文中,再进行一次加盐哈希运算。比对 得到的结果 和 旧有的哈希字符串,由此判断密码是否匹配。

按照这个思路,写一个简化的例子:

解决第一个问题的时候,我们对 'mypassword' 进行了6次加密。任取一个字符串,赋值给 hash

testCompare.js

const bcrypt = require('bcrypt-nodejs')

const hash = '$2a$12$5XhpRItT.wGNyVJk67QMPOchZQsHwBprwNBLEOot8cJOryihRa74W'
const saltInHash = hash.substr(0, hash.length-31)
const newHash = bcrypt.hashSync('mypassword', saltInHash)

console.log('TEST: ' + (newHash === hash))

运行结果:

TEST: true

密码匹配成功!

总结一下

  • bcrypt 直接将 salt 保存在里加密计算得到的哈希字符串里。
  • 匹配思路是
    • 从哈希值字符串中提取出salt,将其添加到密码明文中,再进行一次加盐哈希运算。
    • 比对 得到的结果 和 旧有的哈希字符串,由此判断密码是否匹配。

后两个问题也得到了解答。

参考资料

Beijiyang999
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bcrypt:NodeJS的项目,用于实现BCrypt间件
05-04
FCC第2部分的应用InfoSec挑战 ============================================ 从存储库创建,以编译有关节点,表达和加密的课程。 首先从一个空的存储库开始,然后按照以下步骤创建git init: git init git clone https://github.com/Estebmaister/bcrypt.git 从FCC的原始存储库添加文件,然后开始编码。 剧本 要安装所有依赖项: npm install 运行服务器 npm start 挑战性 目录 异步哈希和比较密码 同步散列和比较密码 1.了解BCrypt哈希 对于以下挑战,您将使用与上一个项目不同的新启动项目。 您可以在Glitch上找到新的入门项目,或从GitHub克隆它。 BCrypt哈希非常安全。 哈希基本上是原始数据的指纹-始终是唯一的。 这是通过将原
nodejs bcrypt (1) : bcrypt 的特点与应用
Beijiyang
11-03 4585
结合 web 用户注册登录的案例,简述了 bcrypt 随机加盐、慢哈希的特点,介绍了node.js可用的bcrypt包,并附以简要代码。
Node.jsbcrypt
最新发布
小秀的博客
03-24 80
原理 bcrypt是一种基于哈希函数的加密算法,它使用一个密码和一个盐值作为输入,生成一个固定长度的密码哈希值。bcrypt的盐值是一个随机生成的字符串,与密码一起用于哈希函数,使得相同的密码在每次加密时都会生成不同的哈希值。bcrypt的另一个重要特点是它使用了一个加密算法来混淆密码哈希值。这个加密算法使用一个密钥和一个初始化向量(IV)来加密密码和盐值。加密后的数据被存储在数据库,用于后续的密码验证。bcrypt的加密过程可以分为以下几个步骤:
node.js密码加密bcrypt(坑多)
weixin_43848802的博客
03-26 919
node.js密码加密bcrypt(坑多) 配置安装环境 python-(并且配置环境变量) node-gyp在命令行下载:npm install -g node-gyp window-build-toools下载★★★★★ 1、下载python 网址:https://www.python.org/downloads/ 安装适合自己的版本 配置环境变量 找到本地python安装目录,复制...
node.js使用 bcryptjs模块对密码加密
Z_Gleng的博客
01-23 937
为了保证密码的安全性,不建议在数据库以 明文 的形式保存用户密码,推荐对密码进行 加密存储 在当前项目,使用 `bcryptjs` 对用户密码进行加密,优点: - 加密之后的密码,无法被逆向破解 - 同一明文密码多次加密,得到的加密结果各不相同,保证了安全性 1,运行如下命令,安装指定版本的 `bcryptjs` npm i bcryptjs@2.4.3 2,在 js文件 ,导入 `bcryptjs` : const bcrypt = require('bcryptjs') 3,在注册
如何在NodeJs使用Bcrypt来保护用户密码
a1611107035的博客
11-09 1592
不管你给你的程序进行了多少加密,黑客都可能有一万种办法黑进你的数据库。一个成熟的软件必须要有额外的加密系统。这样,即使数据库真的被攻破,我们也可以更好地保护我们的用户信息。这就是Bcrypt的作用,加盐salt和散列hash
bcrypt单向加密的使用 和 密钥yuè比对的使用方法
weixin_34087307的博客
05-09 1092
今天才知道密钥yuè的正确读音,我一个语言学硕士栽在这上面25年,⊙﹏⊙b汗, 写文章的时候输入法提醒我知道我读错了。 首先引入 bcrypt 插件 cnpm i bcrypt --save 复制代码给明文加密 bcrypt.genSalt, bcrypt.hash 都是异步执行, 所以要在里面进行对secret赋值操作。 如果使用同步方法, 要使用 bcrypt.genSaltSync(roun...
Node bcrypt加密
wanglun_的博客
09-21 259
在上面的示例bcrypt.hash()函数接受三个参数:要加密的明文密码、加密的强度(通常是一个数字,值越大加密强度越高,但也消耗更多的时间和计算资源)、以及一个回调函数。上面的示例bcrypt.compare()函数接受两个参数:用户输入的密码和存储的哈希值。Node.jsbcrypt库是用于密码哈希和加密的常用工具之一。通过调用bcrypt.hash()函数,你会得到一个经过哈希处理的密码。使用bcrypt进行密码加密的常见方法是使用bcrypt.hash()函数。
Go使用bcrpyt哈希用户密码
屈帅波的技术博客
07-05 1248
bcrypt哈希字符串的组成 bcrypt哈希由多个部分组成。这些部分用于确定创建哈希的设置,从而可以在不需要任何其他信息的情况下对其进行验证。 上图是一个bcrypt哈希的示例图,其由四部分组成: Prefix说明了使用的bcrypt版本 Cost是进行哈希的次数-数字越大生成bcrypt的速度越慢,成本越大。同样也意味着如果密码库被盗,攻击者想通过暴力破解的方法猜测出用户密码的成本变得越昂贵。 Salt是添加到要进行哈希的字符串的随机字符(21.25个字符),所以使用bcrypt时不需要我们在表里
node使用bcrypt库加密、验证密码
记录点滴
04-12 1798
install npm install bcrypt --save 引入 const by = require('bcrypt'); 常用方法 加密: // 生成盐,参数为加密的强度(0~99),默认为10,值越高强度越大,但是解密验证的时候性能越低。 // salt是一个随机字符串 const salt = bcrypt.genSalt(10) // 参数一:要加密的密码 // 参数二:生城的盐 // 异步方法:返回一个promise bcrypt.hash(password, salt
基于npm的bcrypt加密详解
AI_huihui的博客
10-13 1866
为了保证密码的安全性,不建议在数据库以明文的形式保存用户密码,推荐对密码进行加密存储。 1.在所需项目,使用bcryptjs对用户密码进行加密,优点: 加密之后的密码,无法被逆向破解 同一明文密码多次加密,得到的加密结果各不相同,保证了安全性 2.安装并配置 bcryptjs bcryptjs详见 :bcryptjs - npm 2.1 在所需项目文件打开终端写入下面命令安装 npm i bcryptjs 2.2 导入 bcr...
nodejs-record::notebook:nodejs读书笔记
02-12
节点记录 :notebook: nodejs读书笔记 《了不起的nodejs》-赵静译 《深度浅出nodejs》-朴灵
nodejs_-Login:后端预告讲座
04-08
## login-lecture后端预告片讲座
Ignite-NodeJs-Project2:第2章-API
03-18
Ignite-NodeJs-Project2
nodejs入门教程五:连接数据库的方法分析
10-19
主要介绍了nodejs入门教程之连接数据库的方法,结合实例形式分析了nodejs连接数据库的具体步骤与相关操作技巧,需要的朋友可以参考下
nodejs使用bcrypt加密
o_heart
11-15 9860
nodejs使用bcrypt加密bcrypt简介 bcrypt算法相对来说是运算比较慢的算法,在密码学界有句常话:越慢的算法越安全。算法越算,黑客破解成本越高.通过salt和const这两个值来减缓加密过程,ta的加密时间(百ms级)远远超过md5(大概1ms左右)。对于计算机来说,Bcrypt 的计算速度很慢,但是对于用户来说,这个过程不算慢。bcrypt是单向的,而且经过salt和cost的处
Nodejs服务端开发实战——大事件后台API项目(获取文章的列表数据功能待完善...)
SongD1114的博客
04-03 2543
Nodejs服务端开发实战之大事件后台API项目
【加解密】bcryptjs | CryptoJS | JSEncrypt | node-rsa 加密| 解密 | RSA | ASE | MD5
此人太懒,没有任何简介
05-25 2388
【加解密】bcryptjs | CryptoJS | JSEncrypt | node-rsa 加密| 解密 | RSA | ASE | MD5
node入门(一)bcrypt密码加密和验证
qq_43530917的博客
04-08 1265
前言:node.js越来越被广泛的使用,现在找工作职位要求上大都写熟悉或了解一门后端 语言,如(java、php、node等)。Node.js是一个javascript运行环境。它让javascript可以开发后端程序,实现几乎其他后端语言实现的所有功能,Nodejs语法完全是js语法,只要你懂js基础就可以学会Nodejs后端开发,Node打破了过去JavaScript只能在浏览器运行的局面。...
nodejs安装bcrypt失败
08-11
引用提到了一个在安装bcrypt时可能会遇到的问题。在Windows系统上安装bcrypt时,可能会收到一堆npm ERR错误。根据引用,解决这个问题的方法是安装Windows的构建工具,可以使用命令`npm install --g --production windows-build-tools`来安装。这将安装一些必要的工具和依赖,以便成功编译bcrypt。 另外,引用给出了一个使用bcrypt生成随机哈希密码的示例。可以看到,每次生成的密码都是随机的,这增加了安全性。如果您在安装bcrypt时遇到了问题,可以尝试使用上述方法来解决。 希望这能帮助您解决nodejs安装bcrypt失败的问题。如果还有其他疑问,请随时提问。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [解决windows10,nodejs 无法安装 Bcrypt](https://blog.csdn.net/weixin_40677825/article/details/119105025)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [Nodejs使用npm安装 bcrypt 提示npm ERR错误](https://blog.csdn.net/m0_73194953/article/details/127817789)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [[ Nodejs ] MD5 | Bcrypt 数据加密](https://blog.csdn.net/haodian666/article/details/126246096)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值