0
我想在不使用设计的ruby应用程序中存储和验证密码,并使它们与使用设计的未来应用程序兼容。设计使用的默认密码哈希方案是什么,并且可以从设计中提取和使用这个组件?什么密码散列算法确实使用?
A
回答
1
Devise的DatabaseAuthenticatable模块使用BCrpyt来散列密码,包装在Devise::Encryptor模块中。的相关方法,digest,是非常简单的:
def self.digest(klass, password)
if klass.pepper.present?
password = "#{password}#{klass.pepper}"
end
::BCrypt::Password.create(password, cost: klass.stretches).to_s
end
klass仅用于取几个参数:pepper,它被附加到所述密码预先散列但不存储在数据库中的字符串(不象盐,它也被附加,但与密码一起存储在数据库中);和cost,这是散列应该有多安全的度量(请参阅the docs)。这两个都是静态的,您可以将它们硬编码到您的非Devise应用程序中(但请确保保持pepper的秘密!)。
所以,你的哈希方法可能会被写成一样:
def self.digest(password)
password = "#{password}#{ENV['PASSWORD_PEPPER']}"
::BCrypt::Password.create(password, cost: 10).to_s
end
相关问题
- 1. Windows 10使用什么散列算法来存储密码?
- 2. 什么是密码/散列?
- 3. 什么是C#支持的最安全密码散列算法?
- 4. asp.net:存储密码散列算法
- 5. 使用Linux用来散列用户密码的算法散列字符串?
- 6. 从crackstation.net实现密码散列/腌制算法
- 7. 使用md5散列密码
- 8. Rails authlogic密码散列算法只使用红宝石
- 9. Cake 1.3使用哪个算法来散列密码?
- 10. VB.Net密码散列做法
- 11. 散列密码
- 12. 散列密码
- 13. 实现Dijkstra的在Java中使用算法的散列码
- 14. 散列用户密码
- 15. 散列密码,SQL
- 16. 加密与散列密码
- 17. 散列密码的加密?
- 18. 使用SHA256 + SHA512散列密码?
- 19. 使用散列设置postgres密码
- 20. 散列算法
- 21. 使用SHA-512和salt来散列MD5散列密码?
- 22. 如何在java中使用散列函数来散列密码?
- 23. bootstrap-table密码列散列
- 24. 散列码计算
- 25. 如何升级密码存储方案(更改散列算法)
- 26. 如何更换cakephp密码散列算法?
- 27. 密码恢复与sha1密码散列
- 28. 使用NetValidatePasswordPolicy验证以前散列密码的密码
- 29. 在Android应用程序中散列密码的一些好方法是什么?
- 30. 这是什么样的散列加密?
的辣椒是所有用户一样吗? – fields
不应该从一个范围中随机分配吗?然后在验证密码时测试每个可能的值?它也可以使用盐吗? – fields
胡椒对于所有用户都是一样的,但不存储在数据库中(即,不与散列一起存储)。盐是随机产生的(由Bcrpyt,因此为什么没有提到它),但与散列一起存储。两者的结合提供了一些额外的安全性,因为攻击者需要数据库和代码库才能进行强力攻击。 –