नोड.जेएस और मोंगोडीबी

Question

के साथ पासवर्ड संग्रहीत करना मैं कुछ उदाहरणों की तलाश कर रहा हूं कि सुरक्षित रूप से पासवर्ड और अन्य संवेदनशील डेटा को node.js और mongodb का उपयोग करके कैसे सुरक्षित किया जाए।

मैं चाहता हूं कि सब कुछ एक अद्वितीय नमक का उपयोग करें जो मैं मोंगो दस्तावेज़ में हैश के साथ स्टोर करूंगा।

प्रमाणीकरण के लिए मुझे केवल नमक और इनपुट एन्क्रिप्ट करना है और इसे संग्रहीत हैश से मेल करना है?

क्या मुझे कभी भी इस डेटा को डिक्रिप्ट करने की आवश्यकता है और यदि ऐसा है तो मुझे यह कैसे करना चाहिए?

निजी कुंजी, या यहां तक ​​कि सर्वर पर सुरक्षित रूप से संग्रहीत विधियां कैसे हैं?

मैंने सुना है कि एईएस और ब्लोफिश दोनों अच्छे विकल्प हैं, मुझे क्या उपयोग करना चाहिए?

इसे डिजाइन करने के तरीके के किसी भी उदाहरण आश्चर्यजनक रूप से सहायक होंगे!

धन्यवाद!

Answer 1

इस का उपयोग करें: https://github.com/ncb000gt/node.bcrypt.js/

bcrypt बस कुछ ही उपयोग के इस मामले पर ध्यान केंद्रित एल्गोरिदम में से एक है। आपको कभी भी अपने पासवर्ड को डिक्रिप्ट करने में सक्षम नहीं होना चाहिए, केवल सत्यापित करें कि उपयोगकर्ता द्वारा दर्ज क्लीयरक्स्ट पासवर्ड संग्रहीत/एन्क्रिप्टेड हैश से मेल खाता है।

bcrypt उपयोग करने के लिए बहुत सरल है। यहां मेरे मोंगोस उपयोगकर्ता स्कीमा (कॉफीस्क्रिप्ट में) से एक स्निपेट है। Async फ़ंक्शंस का उपयोग करना सुनिश्चित करें क्योंकि बायक्रिप्ट धीमा है (उद्देश्य पर)।

class User extends SharedUser 
    defaults: _.extend {domainId: null}, SharedUser::defaults 

    #Irrelevant bits trimmed... 

    password: (cleartext, confirm, callback) -> 
    errorInfo = new errors.InvalidData() 
    if cleartext != confirm 
     errorInfo.message = 'please type the same password twice' 
     errorInfo.errors.confirmPassword = 'must match the password' 
     return callback errorInfo 
    message = min4 cleartext 
    if message 
     errorInfo.message = message 
     errorInfo.errors.password = message 
     return callback errorInfo 
    self = this 
    bcrypt.gen_salt 10, (error, salt)-> 
     if error 
     errorInfo = new errors.InternalError error.message 
     return callback errorInfo 
     bcrypt.encrypt cleartext, salt, (error, hash)-> 
     if error 
      errorInfo = new errors.InternalError error.message 
      return callback errorInfo 
     self.attributes.bcryptedPassword = hash 
     return callback() 

    verifyPassword: (cleartext, callback) -> 
    bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)-> 
     if error 
     return callback(new errors.InternalError(error.message)) 
     callback null, result 

इसके अलावा, this article, which should convince you that bcrypt is a good choice पढ़ सकते हैं और आप "अच्छी तरह से और सही मायने में effed" बनने से बचने में मदद।

Answer 2

यह सबसे अच्छा उदाहरण मैं तारीख को सामना करना पड़ा है, का उपयोग करता है node.bcrypt.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt