前端面试：你的项目中用户密码存储如何保证安全？

在前端面试中，密码加密的一系列问题可能会在问项目相关的时候涉及到，下面是模拟情景：

面试官：你的项目中用户密码是明文存储吗？

回答：为了避免数据泄露导致的安全问题，用户密码一般采用不可逆向的hash函数加密后存储。常见的哈希算法有：MD5、SHA-1、SHA-256、SHA-512等。

面试官：使用hash加密后的密码就一定安全吗？应该如何增强安全性呢？

回答：虽然hash函数是单向的，但是由于两个相同字符串hash后的结果也一致，因此可以采用字典攻击的方式，将常用的密码，单词，短语和其他可能用来做密码的字符串进行hash，然后一一比对。我们可以在明文密码上加一个随机的前缀或者后缀，然后再进行hash。这个随机的后缀或者前缀就是“盐”。通过加不同的随机盐，相同的密码每次hash后都将是完全不一样的字符串。当然对于不同的密码不能使用同一个盐，否则也会容易被破解。

面试官：你这个项目中对用户密码进行hash是在前端还是在后端进行的？为什么？

回答：后端是必须进行hash的。如果只在前端进行hash，虽然避免了传输明文密码，但是如果有人截取了用户的hash，就可以直接用来登陆用户的账号了，甚至都不需要破解hash得到用户密码但也不是说不能在浏览器端进行hash。只是如果你要这样做的话，一定要在服务端再hash一次。

用npm工具安装完bcrypt.js后，按照下面的代码可以对密码1232进行加盐后再hash，并且调用compareSync函数进行验证，如果返回true就说明明文和密文是对应的。

在我的项目中后端和数据库使用的是express框架和mongodb，借助request对象获取到前端传输来的用户名和密码之后，需要在数据库中查找是否存在用户，如果存在，就要取出加密后的密码和前端传来的密码进行验证；如果不存在，就用上述的bcrypt.js工具进行加密后再写入数据库。