bcrypt.js v3.0.0 发布：现代密码哈希库的重要升级

bcrypt.js 是一个纯 JavaScript 实现的 bcrypt 密码哈希算法库，它不需要任何原生依赖，可以在浏览器和 Node.js 环境中运行。作为密码安全领域的重要工具，bcrypt.js 通过慢哈希和加盐机制为密码存储提供了强大的保护。

重大变更：项目现代化重构

本次 v3.0.0 版本带来了两项重大变更：

1. 项目结构现代化：bcrypt.js 现在默认导出 ECMAScript 模块(ESM)，同时保留了 UMD 格式作为回退方案。这意味着在现代 JavaScript 项目中可以更自然地使用 import 语法导入该库。此外，项目现在内置了 TypeScript 类型定义，为 TypeScript 开发者提供了更好的开发体验。值得注意的是，dist/ 目录不再纳入版本控制，而是作为构建产物在发布时生成。

2. 默认生成 2b 哈希：虽然 bcrypt.js 并未受到导致 bcrypt 版本从 2a 升级到 2b 的漏洞影响，但为了与大多数实现(包括原生 bcrypt 绑定)保持一致，现在默认生成 2b 版本的哈希。这一变更不会影响现有哈希的验证功能，但测试中直接比较哈希字符串的逻辑可能需要相应调整。

新特性：密码长度检查助手

v3.0.0 引入了一个实用的新功能 - 密码输入长度检查助手。在密码哈希前检查输入长度是一个良好的安全实践，可以防止潜在的拒绝服务攻击(DoS)，因为过长的密码输入会导致哈希计算消耗过多资源。这个助手函数让开发者能够轻松实现这一安全检查。

技术细节优化

1. 加密模块适配：项目改进了对 Node.js crypto 模块的使用方式，使其更好地适应 ESM 环境。这是现代 JavaScript 生态演进的重要一步。

2. 安全比较优化：内部的安全字符串比较函数(safeStringCompare)得到了改进，现在使用异或(XOR)操作来实现，这进一步增强了比较过程的安全性。

3. 构建与测试流程：项目合并了 lint 和测试工作流，简化了持续集成流程。同时修复了测试用例，确保在各种环境下的稳定性。

开发者体验提升

1. 类型定义更新：TypeScript 类型定义得到了更新和完善，为使用 TypeScript 的开发者提供了更准确的类型提示。

2. 文档说明增强：新增了关于在浏览器中使用 ESM 变体的说明，帮助前端开发者更好地集成该库。

3. 代码风格统一：项目现在使用 Prettier 进行代码格式化，确保了代码风格的一致性。

向后兼容性说明

虽然 v3.0.0 包含重大变更，但团队采取了谨慎的升级策略：

• 现有的 2a 版本哈希仍然可以正常验证
• 保留了 UMD 格式作为回退方案，确保不兼容 ESM 的环境仍能使用
• 类型定义的加入不会影响纯 JavaScript 项目的使用

对于需要长期维护的项目，建议在升级前充分测试哈希生成和验证流程，特别是那些依赖哈希字符串精确匹配的逻辑。

bcrypt.js v3.0.0 的这些改进标志着该项目向现代 JavaScript 生态的全面靠拢，同时保持了其一贯的安全性和可靠性，是密码安全领域值得关注的一次重要升级。