Node.js 对于正确的密码,Bcrypt compare随机返回false
我在MERN项目(节点v8.10.0)中使用bcrypt(v2.0.1)使用Mongoose在MongoDB中存储用户密码。哈希函数:Node.js 对于正确的密码,Bcrypt compare随机返回false,node.js,mongoose,bcrypt,Node.js,Mongoose,Bcrypt,我在MERN项目(节点v8.10.0)中使用bcrypt(v2.0.1)使用Mongoose在MongoDB中存储用户密码。哈希函数: SellerSchema.pre('save', function (next) { var user = this; bcrypt.hash(user.password, 10, function (err, hash) { if (err) { return next(err); } use
SellerSchema.pre('save', function (next) {
var user = this;
bcrypt.hash(user.password, 10, function (err, hash) {
if (err) {
return next(err);
}
user.password = hash;
next();
});
});
认证部分:
SellerSchema.statics.authenticate = function (email, password, callback) {
Seller.findOne({ email: email })
.exec(function (error, user) {
if (error) return callback(error);
else if (!user) {
var err = new Error('User not found.');
err.status = 401;
return callback(err);
}
bcrypt.compare(password, user.password).then(function (result){
if (result == true) {
return callback(null, user);
} else {
return callback();
}
});
});
};
登录路径:
router.post('/login', function(req, res, next) {
if (req.body.email && req.body.password){
Seller.authenticate(req.body.email,req.body.password,function(error,user) {
if (error || !user) {
console.log("this "+error);
var err = new Error('Wrong email or password.'); // logged everytime the compare result was false
err.status = 401;
return next(err);
} else {
res.json(user);
}
});
} else {
var err = new Error('Email and password are required.');
err.status = 401;
return next(err);
}
});
注册新用户时,散列存储良好&使用纯文本登录时会多次通过compare(),但之后返回false
如果我注册了一个新用户并登录,它会再次工作一段时间,然后开始返回false。
例如:我仍然能够登录数小时前注册的用户(10-15次比较),但无法登录数分钟前创建的用户(1-2次比较后)
使用Node:8.10.0,OS:Ubuntu 18.04您的pre('save')
中间件会在每次保存对象时更新密码。要停止此使用,请修改mongoose的功能,如下所示:
SellerSchema.pre('save', function(next) {
if (this.isModified('password')) { // check if password is modified then has it
var user = this;
bcrypt.hash(user.password, 10, function(err, hash) {
if (err) {
return next(err);
}
user.password = hash;
next();
});
} else {
next();
}
});
您将在每次用户更新时使用pre('save')
hook覆盖密码,否?等等,在每次对文档进行更改的查询之后是否调用此hook?我以为只有在我实际保存新用户时才会调用它。显然,您必须检查是否(this.isNew)