0
我不完全确定,当您在Rails模型中添加has_secure_password时,会涉及任何加密。我知道绝对有一个盐的散列,但有加密吗? bcrypt可以使用河豚,但它被用在bcrypt-ruby(所有这一切的宝石)?has_secure_password - 只有散列或加密?
A
回答
1
TL; DR:has_secure_password将使您在使用self.password=方法时使用Bcrypt的散列函数。
让我们来看看has_secure_password代码:
# File activemodel/lib/active_model/secure_password.rb, line 53
def has_secure_password(options = {})
# Load bcrypt gem only when has_secure_password is used.
# This is to avoid ActiveModel (and by extension the entire framework)
# being dependent on a binary library.
begin
require "bcrypt"
rescue LoadError
$stderr.puts "You don't have bcrypt installed in your application. Please add it to your Gemfile and run bundle install"
raise
end
include InstanceMethodsOnActivation
if options.fetch(:validations, true)
include ActiveModel::Validations
# This ensures the model has a password by checking whether the password_digest
# is present, so that this works with both new and existing records. However,
# when there is an error, the message is added to the password attribute instead
# so that the error message will make sense to the end-user.
validate do |record|
record.errors.add(:password, :blank) unless record.password_digest.present?
end
validates_length_of :password, maximum: ActiveModel::SecurePassword::MAX_PASSWORD_LENGTH_ALLOWED
validates_confirmation_of :password, allow_blank: true
end
end
我们可以看到,它不散列/加密任何东西。然而,我们注意到:
include InstanceMethodsOnActivation
如果我们去的InstanceMethodsOnActivation的文档,我们得到如下代码上:
def password=(unencrypted_password)
if unencrypted_password.nil?
self.password_digest = nil
elsif !unencrypted_password.empty?
@password = unencrypted_password
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost)
end
end
因此,has_secure_password不加密/哈希什么,但包括InstanceMethodsOnActivation模块。该模块定义了password=方法。这种方法的重要组成部分是:
self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost)
现在让我们去看看BCrypt::Password.create的代码:
def create(secret, options = {})
cost = options[:cost] || BCrypt::Engine.cost
raise ArgumentError if cost > 31
Password.new(BCrypt::Engine.hash_secret(secret, BCrypt::Engine.generate_salt(cost)))
end
def valid_hash?(h)
h =~ /^\$[0-9a-z]{2}\$[0-9]{2}\$[A-Za-z0-9\.\/]{53}$/
end
end
在这种方法中,我们注意到一个特殊:
Password.new(BCrypt::Engine.hash_secret(secret, BCrypt::Engine.generate_salt(cost)))
如此看来成为一个散列,这是合乎逻辑的(无论如何你都不想解密密码)。
相关问题
- 1. Castle ActiveRecord/NHibernate - 密码加密或散列
- 2. 散列,加密或两者都
- 3. 加密与散列密码
- 4. 散列密码的加密?
- 5. has_secure_password不加密password_digest Ruby on Rails的
- 6. 加密散列元素树
- 7. DotNetNuke - 纯文本加密/散列密码
- 8. 散列密码
- 9. 散列密码
- 10. 解密散列
- 11. 只有在散列表条件下才将值添加到密钥
- 12. 散列或加密的口令不自动生成键
- 13. 数据是否在Corda Ledger中进行了加密或散列?
- 14. 有没有人认识到这种散列/加密?
- 15. 散列密码,SQL
- 16. 解密散列值
- 17. Oauth权杖加密和散列
- 18. 散列/电子邮件加密
- 19. 散列/加密配置文件信息
- 20. 这是什么样的散列加密?
- 21. 加密和散列之间的区别
- 22. 这是什么样的散列/加密?
- 23. 使用SHA1散列加密NSString
- 24. Java - 跨服务器散列/加密
- 25. 如何加盐和散列密码
- 26. 使用散列MD5对DES加密
- 27. bootstrap-table密码列散列
- 28. 带有散列密码的Spring TokenBasedRememberMeServices
- 29. XOR加密只有大写
- 30. Bcrypt是用于散列还是加密?有点混乱