Fatal编程技术网
  • node.js/
  • Node.js 对于正确的密码,Bcrypt compare随机返回false

Node.js 对于正确的密码,Bcrypt compare随机返回false

node.js mongoose

Node.js 对于正确的密码,Bcrypt compare随机返回false,node.js,mongoose,bcrypt,Node.js,Mongoose,Bcrypt,我在MERN项目(节点v8.10.0)中使用bcrypt(v2.0.1)使用Mongoose在MongoDB中存储用户密码。哈希函数: SellerSchema.pre('save', function (next) { var user = this; bcrypt.hash(user.password, 10, function (err, hash) { if (err) { return next(err); } use

我在MERN项目(节点v8.10.0)中使用bcrypt(v2.0.1)使用Mongoose在MongoDB中存储用户密码。哈希函数:

SellerSchema.pre('save', function (next) {
    var user = this;
    bcrypt.hash(user.password, 10, function (err, hash) {
      if (err) {
        return next(err);
      }
      user.password = hash;
      next();
    });
});
认证部分:

SellerSchema.statics.authenticate = function (email, password, callback) {
    Seller.findOne({ email: email })
      .exec(function (error, user) {
        if (error) return callback(error);
        else if (!user) {
          var err = new Error('User not found.');
          err.status = 401;
          return callback(err);
        }
        bcrypt.compare(password, user.password).then(function (result){
          if (result == true) {
            return callback(null, user);
          } else {
            return callback();
          }
        });
      });
};
登录路径:

router.post('/login', function(req, res, next) {
    if (req.body.email && req.body.password){ 
Seller.authenticate(req.body.email,req.body.password,function(error,user) {
    if (error || !user) {
        console.log("this "+error);
    var err = new Error('Wrong email or password.');  // logged everytime the compare result was false 
    err.status = 401;
    return next(err);
    }  else {
    res.json(user);
    }
});
} else {
var err = new Error('Email and password are required.');
err.status = 401;
return next(err);
}
});
注册新用户时,散列存储良好&使用纯文本登录时会多次通过compare(),但之后返回false

如果我注册了一个新用户并登录,它会再次工作一段时间,然后开始返回false。 例如:我仍然能够登录数小时前注册的用户(10-15次比较),但无法登录数分钟前创建的用户(1-2次比较后)

使用Node:8.10.0,OS:Ubuntu 18.04

您的
pre('save')
中间件会在每次保存对象时更新密码。要停止此使用,请修改mongoose的
功能,如下所示:


SellerSchema.pre('save', function(next) {
  if (this.isModified('password')) { // check if password is modified then has it
    var user = this;
    bcrypt.hash(user.password, 10, function(err, hash) {
      if (err) {
        return next(err);
      }
      user.password = hash;
      next();
    });
  } else {
    next();
  }
});



您将在每次用户更新时使用
pre('save')
hook覆盖密码,否?等等,在每次对文档进行更改的查询之后是否调用此hook?我以为只有在我实际保存新用户时才会调用它。显然,您必须检查
是否(this.isNew)