面试情景
在前端面试中,密码加密的一系列问题可能会在问项目相关的时候涉及到,下面是模拟情景:
面试官:你的项目中用户密码是明文存储吗?
回答:为了避免数据泄露导致的安全问题,用户密码一般采用不可逆向的hash函数加密后存储。常见的哈希算法有:MD5、SHA-1、SHA-256、SHA-512等。
面试官:使用hash加密后的密码就一定安全吗?应该如何增强安全性呢?
回答:虽然hash函数是单向的,但是由于两个相同字符串hash后的结果也一致,因此可以采用字典攻击的方式,将常用的密码,单词,短语和其他可能用来做密码的字符串进行hash,然后一一比对。我们可以在明文密码上加一个随机的前缀或者后缀,然后再进行hash。这个随机的后缀或者前缀就是“盐”。通过加不同的随机盐,相同的密码每次hash后都将是完全不一样的字符串。当然对于不同的密码不能使用同一个盐,否则也会容易被破解。
面试官:你这个项目中对用户密码进行hash是在前端还是在后端进行的?为什么?
回答:后端是必须进行hash的。如果只在前端进行hash,虽然避免了传输明文密码,但是如果有人截取了用户的hash,就可以直接用来登陆用户的账号了,甚至都不需要破解hash得到用户密码但也不是说不能在浏览器端进行hash。只是如果你要这样做的话,一定要在服务端再hash一次。
使用bcrypt.js加密密码
用npm工具安装完bcrypt.js后,按照下面的代码可以对密码1232进行加盐后再hash,并且调用compareSync函数进行验证,如果返回true就说明明文和密文是对应的。