问题描述
我正在使用Node and Express创建一个简单的管理仪表板,只有我和其他2个人会使用,因此我决定使用简单的密码来访问该仪表板。我想将此应用程序保留为一个简单的应用程序,所以我不想仅使用一个完整的专用数据库来存储一个密码。
相反,我使用带bcrypt的Password.js本地策略来检查输入的密码是否与我存储在环境变量(例如process.env.HASH中)中的10个回合哈希值匹配。这是一种安全的身份验证方法,还是没有数据库就可以执行此操作的更好方法?
解决方法
我不是专家,但这对我来说很安全。
只要不将其存储在公共代码存储库中,散列是安全的。
如果受到损害,似乎很容易更改。
