Почему bcrypt в node такой медленный?

Question

[frontendo]

Есть такой код

const bcrypt = require('bcrypt-nodejs');
  async encodePassword(password) {
    let st = Date.now();
    const a = await bcrypt.hashSync(password, bcrypt.genSaltSync(1));
    console.log('hash-' + (Date.now() - st));
    return a;
  }

что асинхронно, что синхронно выполняется за 500-700мс. Хеширует пароль из 6 символов для хранения в бд. Использую sequelize. Не пойму, в чем прикол. Перепробовал все модули подобные в ноде, у всех катастрофически долгое выполнение. Может я чего-то недопонимаю. Интересно, каким инстрмуентом для хеширования паролей пользуются другие

Answer 1

[Алексей Шашенков]

А зачем используете синхронно? Используйте асинхронно hash вместо hashSync
А вообще я юзаю стандартный crypto

Пример async

const crypto = require('crypto');
const util = require('util');
const cryptoPbkdf2 = util.promisify(crypto.pbkdf2); 

let hashLength = 16;
let iterations = 10;
async function createSaltHash(email) {
    let salt = crypto.randomBytes(hashLength).toString('base64');
    let hash = (await cryptoPbkdf2(email, salt, iterations, hashLength, 'sha512')).toString();
    return { salt, hash }
};

async function checkSaltHash(email, salt, hash) {
    if (!email || !hash || !salt) return false;
    let userHash = (await cryptoPbkdf2(email, salt, iterations, hashLength, 'sha512')).toString();
    let check = userHash == hash;
    return check;
};

Comments

[frontendo]

там особой разницы нет, что синхронно, что асинхронно, он полсекунды нагружает полностью процессор

[Алексей Шашенков]

frontendo: Там от кол-ва итераций и типа шифрования все зависит

[frontendo]

Алексей Шашенков: ваше решение через crypto.pbkdf2 отлично работает. Огромное спасибо! Правда вот интересно, такие операции, как шифрование, которые не зависят от сторонних "сервисов" типа баз данных, файловой системы, сетевых ресурсов и тд. Их случайно не целесообразнее делать синхронно, ведь там по сути сама операция длится десятую долю милисекунды, по сути делая такие операции асинхронно возможно оставят нас в минусе по производительности из за обработки промиса?

[Алексей Шашенков]

frontendo: Я говорю что возможно вам будет нужна работа на более длительный период. Тут у вас может стать процесс. Хорошо если у вас есть много параллельно процессов. Да, в синхронном режиме вы выигрываете в рамках запроса, но не в рамках всего процесса. Вам не важно сколько будет ждать пользователь, а сколько будут ждать все. Не тормозите процесс внешними операциями, да процессор, может загружен на 100%, но возможно кто-то проскочит между операциями. Есть хорошее видео на эту тему.

[Александр Никитин]

Алексей Шашенков, подскажите, пожалуйста. В Вашем случае (при использовании crypto) надо salt хранить в базе, вместе с hash?
Для bcrypt, как я понял, salt отдельно хранить не надо.

[Алексей Шашенков]

Александр Никитин, Так у вас будет каждый пароль с отдельной солью

[Александр Никитин]

Алексей Шашенков, это я понял. Мне интересно, какие практики хранения этой соли?
(в одном поле с паролем, в отдельном поле, другой таблице или хранилище, ...)

[Алексей Шашенков]

Александр Никитин, Я вообще храню отдельно, есть users, есть local_auth. В local_auth обычно 3 колонки - user_id, hash, salt. Эти данные редко нужны и потом проще брать все (select *) не задумываясь о пароле.