如果您只有密钥，如何使用 bcrypt 验证 api 密钥？

Question

在我的项目中，用户将提供一个 API 密钥，我想将其与数据库中的密钥进行比较。服务器唯一拥有的是请求标头中提供的纯文本密钥。

在 bcrypt 中，我想在数据库中找到这个密钥来验证它。唯一的问题是数据库中的值经过哈希处理和加盐处理。 bcrypt.compare() 可以工作，但前提是我有类似用户电子邮件之类的东西来专门在数据库中找到一个可以与密钥进行比较的文档。

循环浏览每个文档并比较密钥是我唯一的选择，还是有更有效的方法？

Answer 1

通常，您还会出于此目的发送某种请求（不仅仅是API密钥）的客户ID，以了解要检查哪个键。

通过许多键将非常慢，这就是重点。存储更多信息（例如某种查找）会削弱您的实现，您可能不应该这样做。在通常的设计中，您只会拥有一个用户名或客户端ID或任何称呼它。