https://nodejs.org/api/crypto.html#crypto_crypto_timingsafeequal_a_b

имею ввиду аналог bcrypt.compare, который не требует передачи соли, и соответсвенно в базе её хранить не надо

так не бывает

значит сравнение хэша из базы и прилетевшего с клиента пароля

типа так что ли https://gist.github.com/skeggse/52672ddee97c8efec269

ладно, похоже все сеньоры спят, одни джуны остались

)

а потом будешь обижаться когда тебя будут называть stackoverflow-программером

То есть ты его не используешь?

То есть ты его не используешь?

использую, но базовое понимание языка надо получать из книг, оно годами не устаревает

Базовое можно получить из реальных проектов, так точнее ощущаешь подводные камни

Ну и гугл для базового понимания основ

Я думал, что однажды получил базовое понимание императивного\функционального программирования и ООП можно писать на чем угодно

коллеги не ссорьтесь, тут актуальнейший вопрос по работе с паролями, хэшем и солью

оставьте склоки для джунов

коллеги не ссорьтесь, тут актуальнейший вопрос по работе с паролями, хэшем и солью

А что за хэш то?

Тут всё таки node js сообщество, это не C, в котором без книг и вправду почти невозможно разобраться

bcrypt.compare сранивает голый пароль и подсоленый хэш, без явной передачи самой соли. и не требует хранения её в базе

как нарулить это на crypto?

Там такого нет, напиши сам

это не сложно

Хз, как на crypto, но вроде есть готовые реализации в npm, либо писать свой велосипед

Да тут писать 15-20 строк, зачем такие пакеты из npm тянуть?

может ты ещё и isArray используешь?

Я не сталкивался с такой проблемой, и не знаю сколько строк писать

bcrypt.compare сранивает голый пароль и подсоленый хэш, без явной передачи самой соли. и не требует хранения её в базе

тут дело в том, что хешированный бкрипт содержит в себе соль

поэтому она отдельно и не хранится

а чем бкрипт не подходит вообще в таком случае?

насоветовали crypto, ибо были проблемы с bcrypt - косячность с асинхронностью, через try/catch невозможно отловить потому что промис не throw-ится при несовпадении а выдаёт false

а насчет того, что crypto не хранит соль в хэше.. тут есть такой метод - crypto.pbkdf2 , видимо это решение

хз как можно было не суметь приготовить бкрипт

:)

да приготовился он

с нюансами

А через async await не пробовал реализовать?

я ж говорю, это уметь надо :)

А через async await не пробовал реализовать?

bcrypt ?

Решение проблемы с асинхронностью

Через await получаешь false и ловишь его

ну так и сделал

А с чем у тебя проблема?

const equal = await bcrypt.compare(password, hashedPassword); return equal;

хз что там готовить

Зачем bcryct, если есть crypto

Зачем bcryct, если есть crypto

соль в базе хранишь?

Да

потому что бкрипт - алго хеширования, а крипто - библиотека функций и сравнить их нельзя? :D

Соль, хеш в базе, и секретное слово отдельно

и мд5 используешь :D

потому что бкрипт - алго хеширования, а крипто - библиотека функций и сравнить их нельзя? :D

Крипто это нативный модуль ноды

Бкрипт использует крипто

и мд5 используешь :D

Нет

ну да, кстати

потому что бкрипт - алго хеширования, а крипто - библиотека функций и сравнить их нельзя? :D

У крипто несколько алгоритмов шифрования, выбирай на свой вкус

И все можно написать в не больше 15 строк кода

ну я почему-то подумал, что хранить ещё и соль в базе - не очень идея

ну я почему-то подумал, что хранить ещё и соль в базе - не очень идея

Ну можешь не хранить

как тогда пароли сравнивать?

Делай одну соль, не надо рандомно каждый раз генерить

а если сервер рестартанёт?

не страшно?

Что страшно?

ну соль перегенерится

В джсоне храни

или соль вообще не рандомная.. а "секрет слово"

Бкрипт использует крипто

бкрипт это алгоритм дял хеширования, а что он использует внутри это уже особенности реализации конкретной библиотеки

ну мы тут про ноду, и bcrypt модуль для неё

ERROR: S client not available

Вот тебе нативная либа

https://github.com/kelektiv/node.bcrypt.js/

бкрипт это алгоритм дял хеширования, а что он использует внутри это уже особенности реализации конкретной библиотеки

Есть много алгоритмов шифрования, и все они поддерживаются нодой нативно

Есть много алгоритмов шифрования, и все они поддерживаются нодой нативно

шифрование != хеширование и нода поддерживает только то, что есть в opensll на конкретной машине

парни, всем спасибо. похоже разобрался

парни, всем спасибо. похоже разобрался

Что решил? Написать 20 строк кода используя крипто модуль ноды. Или скачать сторонний модуль, с кучей зависимостей?

соль в базе хранить не хочу, но и хочу сохранить её динамичной для каждого пароля. не хочу bcrypt. видимо спасёт меня только сrypto.pbkdf2

есди я правильно понял

интересное замечаение про кучу зависимостей

http://prntscr.com/fszlt0

https://gist.github.com/skeggse/52672ddee97c8efec269

pbkdf2 является аналогом бкрипта, но менее криптостойкий

бкрипт типа slowly

я читал

потому и безопаснее

https://en.wikipedia.org/wiki/PBKDF2

там есть сравнение

блин, похоже этот джун на этом собаку съел

мнения разделились, пора опросник вводить

если серьёзно, спасибо огромное, многое прояснили

кмк на твоем проекте пофиг что использовать

)

или соль вообще не рандомная.. а "секрет слово"

Нужно и секретное слово и соль, и пароль, и выбрать алгоритм шифрования, чтоб сгенерировать хеш, можешь хранит все в Джон, а хеш в базе

кмк на твоем проекте пофиг что использовать

кмк?

Ааа

Нужно и секретное слово и соль, и пароль, и выбрать алгоритм шифрования, чтоб сгенерировать хеш, можешь хранит все в Джон, а хеш в базе

Спасибо, Сергей

Друзья, все добрый день/вечер, в зависимости от Вашей геопозиции. Подскажите пожалуйста, есть следующая задача: 1. Есть звуковой файл (звукозапись; формат не важен). 2. Есть второй звуковой файл (звукозапись; формат не важен). 3. Сделать проверку того, что человек, говорящий слова в первой звукозаписи совпадает и/или не совпадает со второй звукозаписью.

Я просто за то, что не надо ставить сторонний модуль, если того же результата можно добиться 20 строками нативного кода

Попытался в кратце описать. Надеюсь понятно.

Я просто за то, что не надо ставить сторонний модуль, если того же результата можно добиться 20 строками нативного кода

Сам придерживаюсь такой позиции

Понятно, что есть API от Google, Yandex для распознавания речи, но смысл только в переводе речи в текст.

Понятно, что есть API от Google, Yandex для распознавания речи, но смысл только в переводе речи в текст.

ты далеко замахнул, это рокет-задача