Node.js新手必看！用bcrypt哈希密码，守护账号安全

借助AI开发一款uTools插件-密码管家，对于密码相关的应用安全性是至关重要的，尤其是涉及用户密码时。为保障安全，密码管家采用了密码哈希处理技术。

密码哈希处理是一种关键技术，它能够确保即使密码数据漏露，明文密码也难以被攻击者获取。而 bcrypt 是一种广泛使用的密码哈希算法，它通过结合哈希处理和盐化技术，增强了密码的安全性。本文将详细介绍如何在 Node.js 中使用 bcrypt 对密码进行哈希处理，以及如何验证密码。

密码管家：[](https://link.juejin.cn?target=https%3A%2F%2Fu.tools%2Fplugins... "https://u.tools/plugins/detail/%E5%AF%86%E7%A0%81%E7%AE%A1%E5%AE%B6/?c=eylamc1n2u")u.tools/plugins/det…

开源地址：github.com/CatsAndMice…

什么是密码哈希处理

密码哈希处理是一种将输入的密码转换为固定长度字符串的过程，通常用于安全地存储和传输密码。哈希函数是单向的，这意味着从哈希值反向获取原始密码在计算上是不可行的。例如，使用 bcrypt 对密码 "password123" 进行哈希处理，可能会得到一个类似以下的哈希值：

e234dsdom3k2kmdl3l43iwes9vjro44223m3n32kn5n2ksdo4

什么是 bcrypt

bcrypt 是一种加密算法，专门用于安全地存储密码。它通过哈希处理和盐化技术，将用户的密码转换为一个唯一的代码。即使攻击者窃取了数据库，也难以恢复原始密码。

bcrypt 的工作原理

1. 哈希处理：bcrypt 使用复杂的数学函数将密码转换为一个固定长度的字符串。
2. 盐化：bcrypt 为每个密码生成一个唯一的盐，并将其附加到密码上，然后进行哈希处理。这使得即使两个用户使用相同的密码，它们的哈希值也会不同。

在 Node.js 中安装 bcrypt

在使用 bcrypt 之前，需要先安装它。以下是安装步骤：

1、创建项目目录：

mkdir bcryp-password
cd bcryp-password

2、初始化项目

npm init -y

3、创建入口文件

touch index.js

4、下载bcrypt

npm install bcryptjs

在 Node.js 中使用 bcrypt

安装完成后，需要在项目中导入 bcrypt 并设置它。以下是一个简单的示例：

const bcrypt = require('bcrypt');

const saltRounds = 10; // 盐轮数，通常在 10 和 12 之间

// 生成盐
bcrypt.genSalt(saltRounds, (err, salt) => {
  if (err) {
    console.error('生成盐时出错：', err);
    return;
  }

  // 使用盐对密码进行哈希处理
  const userPassword = 'user_password'; // 替换为实际密码
  bcrypt.hash(userPassword, salt, (err, hash) => {
    if (err) {
      console.error('哈希处理时出错：', err);
      return;
    }

    console.log('哈希密码：', hash);
  });
});

使用 bcrypt 对密码进行哈希处理

在实际应用中，通常会在用户注册时对密码进行哈希处理，并将哈希值存储在数据库中。以下是完整的代码示例：

const bcrypt = require('bcrypt');

const saltRounds = 10; // 盐轮数

// 用户注册时对密码进行哈希处理
const userPassword = 'user_password'; // 用户输入的密码
bcrypt.hash(userPassword, saltRounds, (err, hash) => {
  if (err) {
    console.error('哈希处理时出错：', err);
    return;
  }

  console.log('哈希密码：', hash);
  // 将哈希密码存储到数据库中
});

使用 bcrypt 验证密码

在用户登录时，需要验证用户输入的密码是否与数据库中存储的哈希密码匹配。以下是验证密码的代码示例：

const bcrypt = require('bcrypt');

const storedHashedPassword = '存储在数据库中的哈希密码'; // 从数据库中获取
const userInputPassword = '用户输入的密码'; // 用户在登录时输入的密码

bcrypt.compare(userInputPassword, storedHashedPassword, (err, result) => {
  if (err) {
    console.error('比较密码时出错：', err);
    return;
  }

  if (result) {
    console.log('密码匹配！用户已认证。');
  } else {
    console.log('密码不匹配！认证失败。');
  }
});

bcrypt 与 bcryptjs 的区别

在 Node.js 生态系统中，社区提供了两种流行的工具用于密码哈希处理：bcrypt 和 bcryptjs。而在密码管家出于性能的原因选择使用bcrypt来做处理。

虽然 bcrypt 和 bcryptjs 都基于 bcrypt 算法，但它们在实现方式和适用场景上有所不同。

特性/方面

bcrypt

bcryptjs

实现方式

基于 C++ 的原生模块，通过 Node.js 原生绑定实现

纯 JavaScript 实现，依赖 Node.js 的 crypto 模块

性能

计算哈希和验证密码的速度更快，适合高性能需求

性能稍逊，但足以应对大多数场景

安装复杂度

需要编译，可能需要额外的工具（如 C++ 编译器）

无需编译，安装更简单

适用场景

Node.js 后端开发，处理大量密码哈希和验证操作

浏览器环境，避免编译步骤的项目

社区支持

社区支持强大，广泛使用

社区支持较小，但足够满足大多数需求

稳定性

长期稳定，广泛应用于生产环境

稳定性良好，适合大多数应用场景

bcrypt地址：github.com/kelektiv/no…

bcryptjs地址：github.com/dcodeIO/bcr…

小结

• 如果你的项目主要运行在 Node.js 后端环境中，并且对性能有较高要求，建议使用 bcrypt ；
• 如果你需要在浏览器中运行代码，或者希望避免编译步骤，bcryptjs 是一个更好的选择。

结论

通过在 Node.js 中使用 bcrypt，可以显著提高用户凭据的安全性。bcrypt 的哈希和盐化技术能够有效防止未经授权的访问和恶意攻击。希望本文能帮助您更好地理解和使用 bcrypt，为您的用户创建一个更安全的数字环境。