用has_secure_password对密码进行加密

Rails用户密码加密实践
最新推荐文章于 2024-09-01 08:12:46 发布
原创 最新推荐文章于 2024-09-01 08:12:46 发布 · 426 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rails #ruby

本文介绍如何在Rails应用中使用bcrypt对用户密码进行加密处理。通过加入bcrypt-ruby gem,并利用has_secure_password方法,实现密码的安全存储及验证。文章详细解释了如何配置Gemfile、运行bundle install以及如何在User模型中实施密码加密。
运行环境: rails 4.0.0
ruby2.0.0
sqlite3

活动通中的User模型中,原本用户密码是没有加密的,重构时给密码进行了加密处理。用哈希函数 bcrypt 对密码进行了不可逆的加密,得到密码的哈希值存入数据库中。在程序中使用 bcrypt,需要把 bcrypt-ruby 这个 gem 加入 Gemfile
即把gemfile中的对应注释去掉即可,如下:
# Use ActiveModel has_secure_password
gem 'bcrypt-ruby', '~> 3.0.0'

之后运行:
bundle install


加密过程只需调用一个方法,这个方法是 has_secure_password,password 和 password_confirmation 属性的存在性验证以及二者要相等都在 has_secure_password 方法中实现了,只要数据库中有 password_digest 列,在模型文件中加入 has_secure_password 方法后就能验证用户身份了
class User < ActiveRecord::Base
  has_secure_password
end


加密后,在数据库中验证用户信息时,要调用authenticate 方法,authenticate 方法的作用是对比加密后的密码和 password_digest 是否一致,如果提交的数据不合法,authenticate 方法会返回 false。
代码如下:
def create
@user = User.find_by(name: params[:session][:name])
    if @user && @user.authenticate(params[:session][:password])
      sign_in(@user)
    else
      flash.now[:notice]= '用户名或者密码不正确'
      render '/sessions/login'
    end
end


if @user && @user.authenticate(...)可能出现的结果:

用户	  密码	           a   &&     b
不存在	 任意值	        nil   &&  [anything]  => false
存在	错误的密码	      true   &&    false     => false
存在	正确的密码	      true   &&    true      => true

使用 &&(逻辑与)检测获取的用户是否合法。因为除了 nil 和 false 之外的所有对象都被视作 true,上面这个语句可能出现的结果如下所示。即当且仅当数据库中存在提交的用户名并提交了对应的密码时,这个语句才会返回 true。
ldap 密码存储(可以使用的加密算法及认证机制)
焱宣的博客
03-26 2500
ldap 支持的密码存储算法机制
SpringSecurity密码加密-咸密码-用户授权验证
weixin_44502237的博客
11-16 760
SpringSecurity的PasswordEncoder官网介绍,密码加密验证方式,盐密码概念,与用户授权
has_secure_password_lab-onl01-seng-pt-032320
03-28
has_secure_password 目标 我们将制作一个涵盖简单身份验证流程的Rails应用程序:用户可以创建帐户,登录和注销。 介绍 我们的应用程序包含三个页面: 一个注册页面,用户在其中输入其用户名(作为name ),密码密码确认。 登录页面,用户提交用户名(作为name )和密码,然后登录。 用户主页,上面写着“嗨,#{name}”。 我们不在本实验中介绍验证,因此不必担心。 (无论如何,都很难通过密码验证;产生出降低密码安全性而不是增强密码安全性的规则非常容易。) 如果用户输入了错误的密码,则他们将无法登录。 只需将其重定向回登录页面即可。 如果要显示错误,则可以从控制器返回HTTP错误并使用Javascript捕获它,也可以设置 。 指示 创建一个用户模型并进行迁移。 创建一个用户控制器。 它应该使用注册表单来响应new ,并通过创建新用户来响应create 。
Rails使用has_secure_password进行身份验证
ミ安之偌素
06-27 2405
原文:has_secure_password with Rails 4.1我刚刚用Rails 4.1创建了一个新项目,并且试用了has_secure_password,很酷的功能呢。 但愿你没有在数据库里直接存储明文密码!为了防治密码被窃取,数据库中存储的始终应该是某种形式的哈希值,而非明文密码。 有几个很棒的教程讲述如何以安全的方式哈希和存储密码。我自己用Ruby实现过几次。 更复杂一点的解
rails has_secure_password
li_001的博客
04-08 530
打开 has_secure_password 的文档,可以看到要使用它有两个先决条件,第一,要在 Gemfile 里面添加 Bcrypt,第二,就是要求 users 这张表里有 password_digest 这个字段signup.html.erb<div class="signup-form-container clearfix"> <div class="signup-form">
has_secure_password_lab-v-000
02-19
has_secure_password 目标 我们将制作一个涵盖简单身份验证流程的Rails应用程序:用户可以创建帐户,登录和注销。 介绍 我们的应用程序包含三个页面: 一个注册页面,用户在其中输入其用户名(作为name ),密码密码确认。 登录页面,用户提交其用户名(作为name )和密码,然后登录。 用户主页,上面写着“嗨,#{name}”。 我们不在本实验中介绍验证,因此不必担心。 (无论如何,都很难通过密码验证;产生降低密码安全性而不是增强密码安全性的规则非常容易。) 如果用户输入了错误的密码,则他们将无法登录。 只需将其重定向回登录页面即可。 如果要显示错误,则可以从控制器返回HTTP错误并使用Javascript捕获它,也可以设置 。 指示 创建一个用户模型并进行迁移。 创建一个用户控制器。 它应该使用注册表单来响应new ,并通过创建新用户来响应create 。
rails中登录密码使用has_secure_password
sunwenpeng12345的博客
12-20 301
刚开始做rails时,用户登录的帐号和密码都是以明文的形式直接存入数据库的。后来意识到,这样做是十分不安全的,就算是直接管理用户、管理数据库的人也不应直接看到用户的密码,而且在客户端和服务器传输用户信息的时候也不安全。所以就要给这个用户的密码加密rails框架本身就提供了一个加密的方式,在gemfile中提供了一个gem包: [code]# Use ActiveModel has_...
掌握bcrypt和has_secure_password保障密码安全
开发者在模型中使用has_secure_password后,Rails会自动要求该模型有一个密码字段和一个密码确认字段,并且会通过bcrypt来处理密码加密存储。当用户提交密码时,has_secure_password会自动验证密码的有效性,并将...
运行结果为输入 53 “安全存储数据到钥匙链”” 54 加密_密钥=自我._生成_密钥(密码) 55 加密_数据=自我._加密_数据(数据,加密_密钥) 56 Keychain.set_password(self.service,密钥,加密_数据) 57 58 Def load_secure_data(自我,密钥:str,密码:str)-> str: 59 “从钥匙串加载安全数据” 60 Encrypted_data = keychain.get_password(self.service,密钥) 61 如果不是加密的_数据: 62 Raise ValueError(“未找到数据”) 63 64 加密_密钥=自我._生成_密钥(密码) 65 返回self._decrypt_data(加密_数据,加密_密钥) 66 # 使用示例 67 如果__name__ == "__main__": 68 存储=安全数据存储() 69 70 # 存储加密数据 71 store.save_secure_data(“user_credentials”、“mySecretPassword123”、“masterPassword”) 72 73 # 检索解密数据 74 尝试: 75 解密=store.load_secure_data(“用户凭据”,“masterPassword”) 76 打印(“解密数据:”,解密) 77 除了例外,如e: 78 打印("错误:", str(e)) 79 Python控制台 成功了吗?如果失败结合错误修复好
最新发布
08-22
如果我们希望数据在存储时也加密(即使用用户提供的密码),那么我们需要在存入Keychain之前加密数据。 因此,我们可以使用一个纯Python的AES实现,例如使用`pycryptodome`,但Pythonista没有预装。所以,我们只能...
mysql> show slave status \G *************************** 1. row *************************** Slave_IO_State: Connecting to source Master_Host: 192.168.79.26 Master_User: usersk Master_Port: 3306 Connect_Retry: 60 Master_Log_File: mysql59.000001 Read_Master_Log_Pos: 693 Relay_Log_File: master1-relay-bin.000001 Relay_Log_Pos: 4 Relay_Master_Log_File: mysql59.000001 Slave_IO_Running: Connecting Slave_SQL_Running: Yes Replicate_Do_DB: Replicate_Ignore_DB: Replicate_Do_Table: Replicate_Ignore_Table: Replicate_Wild_Do_Table: Replicate_Wild_Ignore_Table: Last_Errno: 0 Last_Error: Skip_Counter: 0 Exec_Master_Log_Pos: 693 Relay_Log_Space: 157 Until_Condition: None Until_Log_File: Until_Log_Pos: 0 Master_SSL_Allowed: No Master_SSL_CA_File: Master_SSL_CA_Path: Master_SSL_Cert: Master_SSL_Cipher: Master_SSL_Key: Seconds_Behind_Master: NULL Master_SSL_Verify_Server_Cert: No Last_IO_Errno: 2061 Last_IO_Error: error connecting to master 'usersk@192.168.79.26:3306' - retry-time: 60 retries: 1 message: Authentication plugin 'caching_sha2_password' reported error: Authentication requires secure connection. Last_SQL_Errno: 0 Last_SQL_Error: Replicate_Ignore_Server_Ids: Master_Server_Id: 0 Master_UUID: Master_Info_File: mysql.slave_master_info SQL_Delay: 0 SQL_Remaining_Delay: NULL Slave_SQL_Running_State: Replica has read all relay log; waiting for more updates Master_Retry_Count: 86400 Master_
06-21
在 MySQL 8.0 中,默认的身份验证插件为 `caching_sha2_password`,该插件要求安全连接(如 SSL 或其他加密方式)。如果主从复制配置中未满足此要求,则可能会出现错误 `Authentication plugin 'caching_sha2_...
secure-password:使所有人的密码存储更安全
05-01
secure-password 使所有人的密码存储更安全 特征 最先进的密码哈希算法(Argon2id) 大多数应用程序的安全默认值 面向未来,因此可以轻松升级工作因子和哈希算法 到处都有Buffers ,可以更安全地进行内存管理 用法 var securePassword = require ( 'secure-password' ) // Initialise our password policy var pwd = securePassword ( ) var userPassword = Buffer . from ( 'my secret password' ) // Register user pwd . hash ( userPassword , function ( err , hash ) { if ( err ) throw err // Save has
securepassword使密码存储更安全
08-10
secure-password 使密码存储更安全
haslib给字符加密
weixin_30663391的博客
06-28 156
import hashlib obj = hashlib.md5(bytes("abc",encoding="utf-8")) #md5是一种加密方法 obj.update(bytes("123456", encoding="utf-8")) #下面的123456会被上面的abc所结合成为新的加密字符 result = obj.hexdigest() print(resul...
探索Secure-LS:一款安全的命令行文件加密工具
gitblog_00075的博客
04-14 567
探索Secure-LS:一款安全的命令行文件加密工具 项目简介 是一个开源的、跨平台的命令行工具,用于对本地文件系统中的文件和目录进行快速、安全的加密和解密操作。由开发者Softvar创建,该项目旨在提供一种简单但可靠的方式来保护您的敏感数据,而无需牺牲便利性。 技术分析 加密算法 Secure-LS 使用了强健的AES(Advanced Encryption Standard)256位加密算法。...
【用数论的方法攻击口令协议】Number Theoretic Attacks On Secure Password Schemes论文笔记
qq_44249020的博客
02-18 422
Number Theoretic Attacks On Secure Password Schemes 作者:Sarvar Patel 发表:IEEE Xplore, 1997 一、EKE介绍 有关EKE的介绍可以查看我的博文Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks论文笔记。此博文中有对于EKE协议论文内容的详细介绍。除此以外可能还需要读者对于Diffie-Hellman协议、ElGa
has_secure_password可以使用在update上的原因
u011735591的专栏
05-16 415
在rals4/5中使用has_secure_password 时,在官方文档是这么说明的:require 'bcrypt'class User < ActiveRecord::Base # users.password_hash in the database is a :string include BCrypt def password @password ||= Passwo
开源项目 `secure-password` 使用教程
gitblog_00040的博客
09-01 366
开源项目 secure-password 使用教程 1. 项目的目录结构及介绍 secure-password/ ├── LICENSE ├── README.md ├── index.js ├── package.json └── test.js LICENSE: 项目的许可证文件。 README.md: 项目的说明文档。 index.js: 项目的主文件,包含主要的密码加密和验证功能。 p...
哈希算法(hash)加密解密
热门推荐
懿曲折扇情
07-11 2万+
一、哈希算法(hash)加密解密介绍 哈希,英文叫做 hash。 哈希函数(hash function)可以把 任意长度的数据(字节串)计算出一个为固定长度的结果数据。 我们习惯把 要计算 的数据称之为 源数据, 计算后的结果数据称之为 哈希值(hash value)或者 摘要(digests)。 有好几种哈希函数,对应不同的算法, 常见有的 MD5, S...
Spring Security加密解密
程序员一博
08-03 8722
我们开发时进行密码加密,可用的加密手段有很多,比如对称加密、非对称加密、信息摘要等。在一般的项目里,常用的就是信息摘要算法,也可以被称为散列加密函数,或者称为散列算法、哈希函数。这是一种可以从任何数据中创建数字“指纹”的方法,常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)等。散列函数通过把消息或数据压缩成摘要信息,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,再重新创建成一个散列值,从而达到加密的目的。散列值通常用一个短的随机字母和数字组成的字
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值