用passport.js加密密码

Question

我正在用express.js作为后端构建一个页面应用程序。目前，我正在使用passport.js本地策略进行身份验证，在db上使用bcrypt保存加密密码。在身份验证期间，用户提供的密码再次加密，并与存储在db上的密码对抗。不过，我目前正以明文的形式向服务器发送密码，而且我知道这是一个非常糟糕和不安全的做法。为了正确地做到这一点，我理解我必须：

• 在服务器上创建随机字节并将它们发送到客户端
• 在客户端上创建随机字节
• 将加密密码和这两组字节连接起来，并对它们进行加密。
• 将加密的对象和客户机上生成的字节以明文形式发送回服务器。
• 在服务器上复制相同的加密对象并检查是否有有效的身份验证。

我可以再次使用bcrypt和客户机上的一些随机生成器来完成这一任务，但是我有强烈的感觉，我不应该自己实现它。有一些集成的护照或节点库，我不知道？

Answer 1

您可以使用HTTPS (SSL)加密服务器-客户端之间的通信。