用Node.js和MongoDB存储密码

我正在寻找一些如何使用node.jsmongodb安全地存储密码和其他敏感数据的例子。

我希望一切都使用一个独特的盐,我将存储在mongo文件中的哈希旁边。

对于身份validation,我只需要salt和encryptioninput,并将其匹配到存储的散列?

我是否需要解密这些数据?如果有,我该怎么做?

私人密钥,甚至腌制方法如何安全地存储在服务器上?

我听说AES和Blowfish都是很好的select,我应该用什么?

如何devise这个例子将是非常有帮助的!

谢谢!

       

网上收集的解决方案 "用Node.js和MongoDB存储密码"

使用这个: https : //github.com/ncb000gt/node.bcrypt.js/

bcrypt是针对这个用例的几个algorithm之一。 您永远不能解密您的密码,只validation用户input的明文密码与存储/encryption的哈希匹配。

bcrypt非常简单易用。 这是我的Mongoose用户架构(在CoffeeScript中)的一个片段。 一定要使用async函数,因为encryption很慢(故意的)。

class User extends SharedUser defaults: _.extend {domainId: null}, SharedUser::defaults #Irrelevant bits trimmed... password: (cleartext, confirm, callback) -> errorInfo = new errors.InvalidData() if cleartext != confirm errorInfo.message = 'please type the same password twice' errorInfo.errors.confirmPassword = 'must match the password' return callback errorInfo message = min4 cleartext if message errorInfo.message = message errorInfo.errors.password = message return callback errorInfo self = this bcrypt.gen_salt 10, (error, salt)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo bcrypt.encrypt cleartext, salt, (error, hash)-> if error errorInfo = new errors.InternalError error.message return callback errorInfo self.attributes.bcryptedPassword = hash return callback() verifyPassword: (cleartext, callback) -> bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)-> if error return callback(new errors.InternalError(error.message)) callback null, result 

另外,阅读这篇文章,这应该说服你,bcrypt是一个不错的select,并且帮助你避免变得“真正的效果”。

这是我迄今为止遇到的最好的例子,使用node.bcrypt.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt