Каким образом хэшировать пароли в Node.js?

Question

[Meyl_ON]

Рассматриваю хэширование при помощи crypto.scrypt() и через библиотеку bcryptjs. Что из этого использовать? Каким образом хранить соль для scrypt? Или есть более хорошие варианты для хэширования? Лично я склоняюсь к использованию scrypt, но не уверен.

Answer 1

[Михаил]

bcrypt конечно
соль не нужно сохранять

const salt = await bcrypt.genSalt(10);
const password = await bcrypt.hash('qwerty', salt);

Comments

[Meyl_ON]

А чем bcrypt лучше?

[Lynn «Кофеман»]

Непонятно зачем тащить дополнительную библиотеку если уже есть scrypt.

Хранить соль можно как угодно, сама по себе она не секретная.

Собственно в том же bcrypt она просто часть сгенерённого «хеша».

[Михаил]

Вы про что?
Про это https://www.npmjs.com/package/scrypt ?

[Lynn «Кофеман»]

Михаил,
https://nodejs.org/api/crypto.html#crypto_crypto_s...

[Meyl_ON]

Lynn «Кофеман», то есть, я просто могу иметь в одном месте соль и каждый раз использовать её? Просто если она отличается, то в результате получается другое значение и сравнение паролей будет давать false.

[Lynn «Кофеман»]

Meyl_ON, нет, для каждого пароля должна быть своя соль. Её нужно хранить вместе с хешем пароля.

[Meyl_ON]

Lynn «Кофеман», т.е. хранить в дб вместе с захешированным паролем, а когда надо узнать, верный ли пароль ввел пользователь, эту соль из дб доставать и проверять, правильный ли он ввел пароль. Правильно понимаю?

[Lynn «Кофеман»]

Да