在 React Native 中使用密码对用户进行身份验证

Question

各位，我有一些关于与我的 PostgreSQL DB、ExpressJS API 和 React Native 前端交互的一般性问题。

我设法编写了一些查询，例如检查在我的 RN 应用程序中输入的用户名是否与数据库中的用户名匹配并返回其用户 ID。

我知道在我的数据库中，每个用户都有自己的密码，该密码以散列方式存储在数据库中。

如果用户名存在并且它与存储在数据库中的密码匹配，那么查询将如何返回例如用户 ID？

我需要知道密码是如何在数据库中散列的吗？

用户ID查询：

    static getUserId (username, callback) {
    db.query(`SELECT userid FROM employee WHERE username = '${username}'`, (err, res)=> {
        if(err.error){
            return callback(err.error)
        } else {
            return callback(res)
        }
    })
}

密码保存在密码下的同一个员工表中。

编辑：我想我可以采取两个这样的 WHERE 语句：

`SELECT userid FROM employee WHERE username = '${username}' AND WHERE password = '${password}'`

但是如果用户在应用程序中输入他的密码，它不会被散列，所以我需要发送相同的散列方法来比较这些值吗？

提前致谢！ 最好的问候褪色。

Answer 1

您需要对传入的密码进行哈希处理并比较两个哈希值。

话虽这么说：如果真人要使用它，我建议使用库来处理您的身份验证，而不是自己编写。有很多事情可能会导致您的应用程序不安全。

Answer 2

您可以使用bcrypt.js 对您的密码进行哈希处理。

在 SignUp.js 中散列密码：

app.post('/signup',(req,res,next)=> {
 //Password from request body of register request
    const myPlaintextPassword = req.body.password
    //saltRounds are typically set to 12
    bcrypt.hash(myPlaintextPassword, saltRounds, function(err, hash) {
      // Store hash in your password DB with INSERT.
    });
}

现在与 Login.js 中的 Hash 进行比较：

app.post('/login',async (req,res,next)=>{
const existingUser = await db.query(`SELECT userid FROM employee WHERE username = '${username}'`, (err, res)=> {
        if(err.error){
            return callback(err.error)
        } else {
            return callback(res)
        }
    })
    const valid = await bcrypt.compare(req.body.password, existingUser.password);
if (!valid) {
        res.status(401).send('Wrong pass');
        return req.next()
    }
}