bcrypt로 비밀번호 해싱하기

1. bcrypt

bcrypt는 한번 해싱하면 되돌릴 수 없는 단방향 해싱이다.

암호화 기법인 salt와 키 스트레칭을 통해 기존 보안 방식보다 안전하다.

1.1 salt?

비밀번호에 추가 문자열을 붙여 암호화 하는 것이다.
비밀번호마다 다른 문자열을 추가하기 때문에 매우 보안성이 높아진다.
salt정보는 매우 중요하기 때문에 잘 보관해야 한다.

1.2 키 스트레칭?

키를 늘린다는건 길이를 늘리는게 아니라 해시함수를 반복해 출력 값이 아주 느리게 산출되도록 하는 방법이다.
해킹을 하는데 시간과 비용이 증가되기 때문에 반복횠수를 늘릴수록 보안이 강화된다.

---

2. bcrypt를 통한 비밀번호 해싱, 비교

사용법은 다음과 같다.

bcrypt.hash(myPlaintextPassword, saltRounds)

사용법은 다양하지만, scheme.pre()메서드를 이용해 저장되기 전에 자동적으로 해싱되게 하면 하다.

userScheme.pre("save", async function () {
  this.password = await bcrypt.hash(this.password, 5);
});

bycrypt.compare(mainPlainTextPassword, hash)

compare함수는 true/false를 return하기 때문에 다음과 같이 변수를 만들고 이용하면 편하다.

  const ok = bcrypt.compare(password, user.password);

---

참고자료:
노마드코드 유튜브클론코딩
https://velog.io/@sangmin7648/Bcrypt%EB%9E%80
https://www.npmjs.com/package/bcrypt