t_wの輪郭

Feedlyでフォローするボタン
ハッシュ
メールアドレスもハッシュ化あれハッシュ化したパスワードパスワードをハッシュ化パスワードのハッシュ化Passport.jsのLocalStrategyで利用者名と暗証語を認証するコードメールアドレスのハッシュ化
passport.use(new LocalStrategy(function verify(username, password, cb) {
  db.get('SELECT rowid AS id, * FROM users WHERE username = ?', [ username ], function(err, row) {
    if (err) { return cb(err); }
    if (!row) { return cb(null, false, { message: 'Incorrect username or password.' }); }

    crypto.pbkdf2(password, row.salt, 310000, 32, 'sha256', function(err, hashedPassword) {
      if (err) { return cb(err); }
      if (!crypto.timingSafeEqual(row.hashed_password, hashedPassword)) {
        return cb(null, false, { message: 'Incorrect username or password.' });
      }
      return cb(null, row);
    });
  });
}));

『Username & Password Tutorial: Verify Password』より


何をしているコードか

  1. dbから与えられた利用者名と一致する利用者情報(利用者名, ハッシュ化された暗証語)を取り出す。
  2. 与えられた暗証語crypto.pbkdf2sha256ハッシュ化する。
  3. crypto.timingSafeEqualで1.と2.で得られたハッシュ化された暗証語を比較し、一致していれば利用者情報をcallback関数(cb)で返す