使用Node.js和MongoDB存储密码

我正在寻找一些有关如何使用node.js和mongodb安全存储密码和其他敏感数据的示例。

我希望所有内容都使用一种独特的盐，该盐将与哈希一起存储在mongo文档中。

为了进行身份验证，我是否仅需要盐析和加密输入并将其与存储的哈希值匹配？

我是否应该解密这些数据，如果是，该怎么做？

私钥或什至加盐方法如何安全地存储在服务器上？

我听说AES和Blowfish都是不错的选择，我应该使用什么？

任何有关如何设计的示例都将非常有用！

谢谢！

使用这个：https : //github.com/ncb000gt/node.bcrypt.js/

bcrypt是仅针对该用例的少数算法之一。您永远都不能解密密码，只能验证用户输入的明文密码与存储/加密的哈希匹配。

bcrypt使用起来非常简单。这是我的Mongoose用户架构（在CoffeeScript中）的摘录。请确保使用异步功能，因为bycrypt速度很慢（故意这样做）。

class User extends SharedUser
  defaults: _.extend {domainId: null}, SharedUser::defaults

  #Irrelevant bits trimmed...

  password: (cleartext, confirm, callback) ->
    errorInfo = new errors.InvalidData()
    if cleartext != confirm
      errorInfo.message = 'please type the same password twice'
      errorInfo.errors.confirmPassword = 'must match the password'
      return callback errorInfo
    message = min4 cleartext
    if message
      errorInfo.message = message
      errorInfo.errors.password = message
      return callback errorInfo
    self = this
    bcrypt.gen_salt 10, (error, salt)->
      if error
        errorInfo = new errors.InternalError error.message
        return callback errorInfo
      bcrypt.encrypt cleartext, salt, (error, hash)->
        if error
          errorInfo = new errors.InternalError error.message
          return callback errorInfo
        self.attributes.bcryptedPassword = hash
        return callback()

  verifyPassword: (cleartext, callback) ->
    bcrypt.compare cleartext, @attributes.bcryptedPassword, (error, result)->
      if error
        return callback(new errors.InternalError(error.message))
      callback null, result

另外，请阅读本文，这应该使您确信bcrypt是一个不错的选择，并可以帮助您避免“变得井井有条”。

这是我迄今为止遇到的最好的示例，它使用node.bcrypt.js http://devsmash.com/blog/password-authentication-with-mongoose-and-bcrypt