使用 Meteor 创建的密码进行用户身份验证

Question

我正在尝试使用由帐户密码在 Meteor 中创建并存储在数据库中的密码来验证来自服务器的用户。但是密码永远不会匹配。我做错了什么？

    var bcrypt = require('bcryptjs');
    var crypto = require('crypto');
    var raw_pass = 'my_pass';
    var pass = crypto.createHash('sha256').update(raw_pass).digest('hex');              
    var encryptedPassword = bcrypt.hashSync(pass, bcrypt.genSaltSync(10));
    bcrypt.compare(doc.services.password.bcrypt, encryptedPassword, function(err, result) {
                if(result) {
                   console.log('OK');
                }
                else {
                   console.log(403);
                }
            });

Answer 1

根据流星生成的密码检查普通密码的正确方法是使用 sha256 和 bcrypt，如下所示

var bcrypt = require('bcrypt')
var sha256 = require('sha256')
const samePassword = bcrypt.compareSync(
                        sha256(plainTextPassword),
                        user.services.password.bcrypt
                     )

Answer 2

bcrypt.compare 的参数是“纯字符串”和“加密字符串”。所以正确的解决方案是：

var raw_pass = 'my_pass';
var pass-256 = crypto.createHash('sha256').update(raw_pass).digest('hex');              
bcrypt.compare(meteor.password, pass-256, function(err, result) {
            if(result) {
               console.log('OK');
            }
            else {
               console.log(403);
            }
        });

Answer 3

如果您打印出bcrypt.compare 的输出，将会对我们有所帮助。 它可能返回 0，这意味着成功，但在您的 if 语句中，0 将被解释为 false。

Answer 4

帐户密码不使用密码作为密码。 它只使用 bcrypt 和 salt 来生成加密密码。

您可以检查比较密码here