Eu também tive a mesma pergunta que o pôster original e dei uma olhada em volta e tentei coisas diferentes para entender o mecanismo. Como já foi apontado por outros, o sal é concatenado ao hash final. Portanto, isso significa algumas coisas:
- O algoritmo deve saber o comprimento do sal
- Também deve saber a posição do sal na corda final. por exemplo, se deslocado por um número específico da esquerda ou direita.
Essas duas coisas são geralmente codificadas na implementação, por exemplo, a fonte de implementação bcrypt para bcryptjs define o comprimento do sal como 16
/**
* @type {number}
* @const
* @private
*/
var BCRYPT_SALT_LEN = 16;
Portanto, para ilustrar o conceito básico por trás da ideia, se alguém quisesse fazê-lo manualmente, seria semelhante ao seguinte. Eu não recomendo implementar coisas como essa você mesmo, quando houver bibliotecas que você possa obter para fazê-lo.
var salt_length = 16;
var salt_offset = 0;
var genSalt = function(callback)
{
var alphaNum = '0123456789abcdefghijklmnopqurstuvwxyzABCDEFGHIJKLMNOPQURSTUVWXYZ';
var salt = '';
for (var i = 0; i < salt_length; i++) {
var j = Math.floor(Math.random() * alphaNum.length);
salt += alphaNum[j];
}
callback(salt);
}
// cryptographic hash function of your choice e.g. shar2
// preferably included from an External Library (dont reinvent the wheel)
var shar2 = function(str) {
// shar2 logic here
// return hashed string;
}
var hash = function(passwordText, callback)
{
var passwordHash = null;
genSalt(function(salt){
passwordHash = salt + shar2(passwordText + salt);
});
callback(null, passwordHash);
}
var compare = function(passwordText, passwordHash, callback)
{
var salt = passwordHash.substr(salt_offset, salt_length);
validatedHash = salt + shar2(passwordText + salt);
callback(passwordHash === validatedHash);
}
// sample usage
var encryptPassword = function(user)
{
// user is an object with fields like username, pass, email
hash(user.pass, function(err, passwordHash){
// use the hashed password here
user.pass = passwordHash;
});
return user;
}
var checkPassword = function(passwordText, user)
{
// user has been returned from database with a hashed password
compare(passwordText, user.pass, function(result){
// result will be true if the two are equal
if (result){
// succeeded
console.log('Correct Password');
}
else {
// failed
console.log('Incorrect Password');
}
});
}