Почему после изменения статуса и сохранения его в базу, пароли перестают совпадать?

Question

jeruthadam @jeruthadam

Я крут

Почему после изменения статуса и сохранения его в базу, пароли перестают совпадать?

После ЧАСОВ рытья в приложении я наконец нашел причину, почему мои пароли перестают совпадать - это происходит когда юзер верифицирует почту и сохраняется статус active: true в базу!!!

Но теперь я в недоумении как это исправить? И почему такой конфлиг, что хеши не совпадают?

ВОт мой код апдейта статуса юзера:

User.findOne({email: decoded.sub}, function (err, userFound) {
        if (err) { console.log('error') }
        if (!userFound) {
          res.status(401).send({
            message: 'Unable to verify email. User not found.'
          })
          console.log('User not found')
          return
        }
        if (!userFound.active) {
          userFound.active = true
          console.log('Changed to active')
        }
        userFound.save(function(err) {
          if (err) { return next(err) }
          console.log(userFound.active)
          console.log('User saved')
          res.status(201).send('Status changed')
          // res.status(201).redirect('http://localhost:8080/secretquote')
        })
      })

Очень прошу помочь, мозг уже закипает.

АПД: заметил, что после этой операции меняется сохраненный в базе ХЭШ!!! Но почему???
Вот, судя по всему проблема в моем хуке

userSchema.pre('save', function (next) {
  const user = this
  bcrypt.genSalt(10, function (err, salt) {
    if (err) { return next (err) }
    bcrypt.hash(user.password, salt, function (err, hash) {
      if (err) { return next (err) }
      // ovewrite plain text password with hash
      user.password = hash
      next ()
    })
  })
})

Что можно придумать?

Вопрос задан более трёх лет назад
299 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

10 комментариев

jeruthadam @jeruthadam Автор вопроса

Перезаписываю, именно! Я АПД написал про это. Вот только выяснил. Почему такое поведение? Я ведь не хочу ничего изменять кроме active.

Написано более трёх лет назад

jeruthadam @jeruthadam Автор вопроса

Я так полагаю из-за этого хука пре-сейв!

userSchema.pre('save', function (next) {
  const user = this
  bcrypt.genSalt(10, function (err, salt) {
    if (err) { return next (err) }
    bcrypt.hash(user.password, salt, function (err, hash) {
      if (err) { return next (err) }
      // ovewrite plain text password with hash
      user.password = hash
      next ()
    })
  })
})

Что делать?

Написано более трёх лет назад

Алексей Шашенков @teknik2008

jeruthadam: Я не знаю вашего проекта в цело, я кину свой

пример реализации хеша паролей

const mongoose = require('../libs/mongoose');
const crypto = require('crypto');
const config = require('config');
var Schema=mongoose.Schema;
var userSchemaOBj={
	name:{ 
		type: String
	},
	salt:{
		type: String,
		unique: true,
	},
	passwordHash:{
		type: String,
		unique: true,
	}		
}
 
var userSchema =new mongoose.Schema(userSchemaOBj);
userSchema.virtual('password')
  .set(function(password) {
    if (password !== undefined) {
      if (password.length < 4) {
        this.invalidate('password', 'Пароль должен быть минимум 4 символа.');
      }
    }

    this._plainPassword = password;

    if (password) {
      this.salt = crypto.randomBytes(config.crypto.hash.length).toString('base64');
      this.passwordHash = crypto.pbkdf2Sync(password, this.salt, config.crypto.hash.iterations, config.crypto.hash.length);
    } else {
      // remove password (unable to login w/ password any more, but can use providers)
      this.salt = undefined;
      this.passwordHash = undefined;
    }
  })
  .get(function() {
    return this._plainPassword;
  });

userSchema.methods.checkPassword = function(password) {
  if (!password) return false; // empty password means no login by password
  if (!this.passwordHash) return false; // this user does not have password (the line below would hang!)
  return crypto.pbkdf2Sync(password, this.salt, config.crypto.hash.iterations, config.crypto.hash.length) == 
    this.passwordHash;
};
userSchema.methods.createPassword = function(password) {
	let salt = crypto.randomBytes(config.crypto.hash.length).toString('base64');
    let passwordHash = crypto.pbkdf2Sync(password, salt, config.crypto.hash.iterations, config.crypto.hash.length);
	return {
		salt:salt,
		passwordHash:passwordHash
	}
};


 
 
module.exports = mongoose.model('user', userSchema);

Написано более трёх лет назад

jeruthadam @jeruthadam Автор вопроса

Алексей Шашенков: попробую вынести создание хэша из pre-save хука в метод, как у вас...

Написано более трёх лет назад
jeruthadam @jeruthadam Автор вопроса

Алексей Шашенков: а как вы потом эти методы используете в контроллере? Что-то у меня не выходит...

Написано более трёх лет назад

Алексей Шашенков @teknik2008

jeruthadam:

Как-то так

passport.use(new LocalStrategy({
    usernameField: 'login', // 'username' by default
    passwordField: 'password'
  },
  function(login, password, done) {
    User.findOne({ login: login }, function (err, user) {
      if (err) {
        return done(err);
      } 
		 
      if (!user || !user.checkPassword(password)) {
        // don't say whether the user exists
        return done(null, false, { message: 'Нет такого пользователя или пароль неверен.' });
      }
      return done(null, user);
    });
  }
));

Это старые примеры, Сейчас все на промисах. Да и не использую mongo

Написано более трёх лет назад

jeruthadam @jeruthadam Автор вопроса

Алексей Шашенков: вообщем, я в итоге сделал на промисах и хэш сразу в контроллере делаю. Лучше конечно вынести куда-то, чтоб можно было реюзать для сброса пароля, например, но пока так. Вроде работает. Спасибо.

Кстати, я без Паспорта вообще делаю. А что вместо Монги юзаете? Я ее очень не люблю, но больше ничего не знаю. Что посоветуете?

Написано более трёх лет назад
Алексей Шашенков @teknik2008

jeruthadam: Я Postgres. Там есть jsonb если надо хранить json и это очень надежная БД и хорошим комюнити. Но это SQL, что и плюс и минус. Минус в том что надо много знать чтобы хорошо строить запросы, + в том что можно так данные вытащить, что ни одно noSQL не сможет. Вообщем это все лирика. Но мне кажется что скоро и SQL базы выдавят noSQL, сейчас вводят стандарт работы с json, что позволит делать типизацию свойств.

Написано более трёх лет назад
jeruthadam @jeruthadam Автор вопроса

Алексей Шашенков: у SQL же ACID. Но вообще да, на Постгре я поглядываю. Для простых операций, например для обычной системы авторизации, много надо знать? Понимаю, все относительно. Но если я смогу за пару дней переписать с Монги на Постгре, то это плюс к тому, чтобы сесть учить.

Написано более трёх лет назад
Алексей Шашенков @teknik2008

jeruthadam: Можно к примеру с orm начать, к примеру sequelize

Написано более трёх лет назад