Node.js使用bcryptjs加密密码教程

今日不肯埋头，明日何以抬头！每日一句努力自己的话哈哈~哈喽，今天我将给大家带来一篇《Node.js 中 bcryptjs 加密密码教程》，主要内容是讲解等等，感兴趣的朋友可以收藏或者有更好的建议在评论提出，我都会认真看的！大家一起进步，一起学习！

1. 密码哈希与验证原理

在任何用户认证系统中，直接存储用户明文密码都是极其危险的做法。一旦数据库泄露，所有用户密码将暴露无遗。为了解决这个问题，我们采用密码哈希技术。

• 哈希函数： 密码哈希是一种单向函数，它将任意长度的输入（密码）转换为固定长度的输出（哈希值）。其关键特性是不可逆性，即无法从哈希值反推出原始密码。
• 加盐 (Salt)： 为了进一步增强安全性，防止彩虹表攻击和对相同密码生成相同哈希值的问题，我们在哈希密码之前会添加一个随机的“盐值”（salt）。每个用户的盐值都是唯一的，并与哈希后的密码一起存储。
• 验证流程： 当用户尝试登录时，系统会获取用户输入的密码，并使用存储的盐值对其进行哈希处理。然后，将新生成的哈希值与数据库中存储的哈希值进行比较。如果两者匹配，则密码正确；否则，密码错误。

2. bcrypt 模块及其潜在兼容性问题

bcrypt 是 Node.js 生态系统中一个非常流行的密码哈希库。它基于 OpenBSD 的 bcrypt 算法，提供了强大的密码保护能力。然而，bcrypt 模块底层依赖 C++ 绑定，这意味着它在安装和运行时需要编译 C++ 代码。在某些开发或部署环境中，这可能导致兼容性问题，例如缺少编译工具链、特定的 Node.js 版本与 C++ 绑定不兼容，或者出现类似 Cannot find module napi-v3/bcrypt_lib.node 的错误。当这些问题发生时，即使 bcrypt.compare 函数没有直接抛出错误，也可能无法正确执行比较逻辑，导致所有密码验证失败。

3. bcryptjs：纯 JavaScript 的替代方案

为了避免 bcrypt 模块可能出现的兼容性问题，我们强烈推荐使用 bcryptjs。bcryptjs 是 bcrypt 算法的纯 JavaScript 实现，它提供了与 bcrypt 模块几乎完全一致的 API，但完全消除了对 C++ 绑定的依赖。这意味着它在任何 Node.js 环境中都能稳定运行，而无需担心编译问题。

3.1 安装 bcryptjs

要将 bcrypt 替换为 bcryptjs，只需通过 npm 安装 bcryptjs 即可：

npm install bcryptjs

在代码中，你可以继续使用 require('bcryptjs') 并将其赋值给 bcrypt 变量，以便最大程度地减少代码改动。

const bcrypt = require('bcryptjs'); // 引入 bcryptjs

4. 使用 bcryptjs 实现密码存储与验证

接下来，我们将演示如何在你的 Node.js Express 应用中集成 bcryptjs 来处理用户注册和登录时的密码。

4.1 注册 (Signup) 接口中的密码哈希

在用户注册时，我们需要对用户提供的明文密码进行哈希处理，然后将哈希后的密码存储到数据库中。bcryptjs 提供了 hash() 方法来完成此操作。

// signup endpoint
app.post('/signup', async (req, res) => {
  try {
    const { 
      firstName, 
      lastName, 
      email, 
      role,
      password 
    } = req.body;

    // 检查邮箱是否已存在
    const existingUser = await User.findOne({ email });
    if (existingUser) {
      return res.status(400).json({ message: 'Email already exists' });
    }

    // 设置默认密码（生产环境不推荐，应强制用户提供密码）
    let plainTextPassword = password;
    if (!plainTextPassword) {
      plainTextPassword = 'defaultPassword123';
    }

    // 对密码进行哈希处理
    // bcryptjs.hash() 方法可以直接接受明文密码和盐轮数 (saltRounds)
    // saltRounds 决定了哈希的计算强度，推荐值为 10-12
    const saltRounds = 10; 
    const hashedPassword = await bcrypt.hash(plainTextPassword, saltRounds);

    // 创建新用户对象
    const newUser = new User({
      firstName,
      lastName,
      email,
      role,
      password: hashedPassword, // 存储哈希后的密码
    });

    // 保存用户到数据库
    await newUser.save();

    // 生成 JWT 等后续认证逻辑
    const token = jwt.sign({ email: newUser.email }, secretKey);
    const expirationDate = new Date().getTime() + 3600000; // 1小时过期

    const userResponse = {
      firstName: newUser.firstName,
      lastName: newUser.lastName,
      email: newUser.email,
      role: newUser.role,
      id: newUser._id,
      _token: token,
      _tokenExpirationDate: expirationDate,
    };

    res.status(201).json(new AuthResponseData(userResponse));
  } catch (error) {
    console.error('Error during signup:', error);
    res.status(500).json({ message: 'Internal server error' });
  }
});

说明：

• bcrypt.hash(plainTextPassword, saltRounds) 是一个异步操作，因此我们使用 await 来等待其完成。
• saltRounds 参数控制生成盐值和哈希密码的计算复杂度。值越大，安全性越高，但计算时间也越长。
• 哈希后的密码直接存储在 newUser.password 中。

4.2 登录 (Login) 接口中的密码验证

在用户登录时，我们需要获取用户输入的密码，并将其与数据库中存储的哈希密码进行比较。bcryptjs 提供了 compare() 方法来安全地执行此操作。

// Login endpoint
app.post('/login', async (req, res) => {
  try {
    const { email, password: userEnteredPassword } = req.body; // 重命名 password 以避免混淆

    // 在数据库中查找用户
    const user = await User.findOne({ email });
    if (!user) {
      // 用户不存在，返回通用错误消息以避免泄露用户信息
      return res.status(401).json({ message: 'Invalid email or password' });
    }

    const hashedPasswordFromDb = user.password;

    // 比较用户输入的密码和数据库中存储的哈希密码
    // bcryptjs.compare() 也是一个异步操作
    const passwordMatch = await bcrypt.compare(userEnteredPassword, hashedPasswordFromDb);

    if (!passwordMatch) {
      // 密码不匹配
      return res.status(401).json({ message: 'Invalid email or password' });
    }

    // 密码匹配成功，生成 JWT
    const token = jwt.sign({ email: user.email }, secretKey);
    const expirationDate = new Date().getTime() + 3600000; // 1小时过期

    const loggedInUser = {
      firstName: user.firstName,
      lastName: user.lastName,
      email: user.email,
      role: user.role,
      id: user._id,
      _token: token,
      _tokenExpirationDate: expirationDate,
    };

    res.status(200).json(new AuthResponseData(loggedInUser));
  } catch (error) {
    console.error('Error during login process:', error);
    res.status(500).json({ message: 'Internal server error' });
  }
});

说明：

• bcrypt.compare(userEnteredPassword, hashedPasswordFromDb) 同样是一个异步操作。它会使用存储在 hashedPasswordFromDb 中的盐值对 userEnteredPassword 进行哈希，然后比较两个哈希值。
• passwordMatch 会是一个布尔值，表示密码是否匹配。
• 请确保在用户不存在或密码不匹配时返回通用的错误消息（例如“Invalid email or password”），而不是具体说明是邮箱不存在还是密码错误，以防止账户枚举攻击。

5. 注意事项与最佳实践

• 异步操作的重要性： bcryptjs 的 hash() 和 compare() 方法都是计算密集型的。务必使用 async/await 或回调函数进行异步处理，避免阻塞 Node.js 的事件循环，影响服务器性能。
• 盐轮数 (Salt Rounds) 的选择： saltRounds 的值应根据你的硬件性能和安全需求进行权衡。较高的值会增加计算时间，提高安全性，但也会增加服务器负载。通常，10 到 12 是一个合理的范围。随着计算能力的提升，可能需要逐步增加此值。
• 错误处理： 在哈希和比较过程中，始终要捕获并处理可能发生的错误，向用户返回友好的错误提示，并记录详细的错误日志。
• 密码策略： 鼓励或强制用户设置强密码，例如要求密码包含大小写字母、数字和特殊字符，并设置最小长度。
• 秘密密钥管理： 用于 JWT 签名的 secretKey 必须严格保密，不应硬编码在代码中。最佳实践是通过环境变量、配置文件或密钥管理服务来加载。
• 避免默认密码： 在生产环境中，不应设置硬编码的默认密码。如果用户注册时未提供密码，应要求用户提供，或通过安全流程（如密码重置邮件）引导用户设置。

总结

通过将 bcrypt 替换为 bcryptjs，我们可以有效解决因 C++ 绑定导致的兼容性问题，从而确保 Node.js 应用中密码哈希和验证功能的稳定运行。遵循上述指南，利用 bcryptjs 的异步 API 和推荐的最佳实践，你将能够构建一个安全、可靠的用户认证系统，有效保护用户密码数据。

文中关于的知识介绍，希望对你的学习有所帮助！若是受益匪浅，那就动动鼠标收藏这篇《Node.js使用bcryptjs加密密码教程》文章吧，也可关注golang学习网公众号了解相关技术文章。