# bcryptjs插件
Bcrypt是单向Hash加密算法,类似Pbkdf2算法 不可反向破解生成明文。
比MD5、SHA1等加密算法更难破解。
# Bcrypt是怎么加密的?
Bcrypt有四个变量:
saltRounds: 正数,代表hash杂凑次数,数值越高越安全,默认10次。myPassword: 明文密码字符串。salt: 盐,一个128bits随机字符串,22字符myHash: 经过明文密码password和盐salt进行hash,个人的理解是默认10次下 ,循环加盐hash10次,得到myHash
每次明文字符串myPassword过来,就通过10次循环加盐salt加密后得到myHash, 然后拼接BCrypt版本号+salt盐+myHash等到最终的bcrypt密码 ,存入数据库中。
这样同一个密码,每次登录都可以根据自省业务需要生成不同的myHash, myHash中包含了版本和salt,存入数据库。
# 那如果黑客使用彩虹表进行hash碰撞呢?
有文章指出bcrypt一个密码出来的时间比较长,需要0.3秒,而MD5只需要一微秒(百万分之一秒),一个40秒可以穷举得到明文的MD5,在bcrypt需要12年,时间成本太高。
# 那他是如何验证密码的?
在下次校验时,从myHash中取出salt,salt跟password进行hash;得到的结果跟保存在DB中的hash进行比对。
生成hash:
function getHash(val) {
const salt = bcrypt.genSaltSync(10);
const hash = bcrypt.hashSync(val, salt);
// Store hash in your password DB.
return hash
},
校验密码:
function verifyHash(plainPwd, user) {
const correct = bcrypt.compareSync(plainPwd, user.password);
return corrent // true or false
}