has_secure_password - только хэши или шифрует?

Question

has_secure_password - только хэши или шифрует?

Я не совсем уверен, если, когда вы добавите has_secure_password в модели Rails используется любое шифрование. Я знаю, что соль определенно перемешивается, но есть ли шифрование? bcrypt может использовать blowfish, но используется ли он в bcrypt-ruby (жемчужина за всем этим)?

0

ruby-on-rails ruby bcrypt-ruby

Источник

user4214184 02 июн '17 в 10:31

1 ответ

Решение

Другие вопросы по тегам ruby-on-rails ruby bcrypt-ruby

user4480140 02 июн '17 в 12:22 2017-06-02 12:22 · Accepted Answer · 2017-06-02 12:22

TL;DR: has_secure_password заставит вас использовать хэш-функцию Bcrypt при использовании self.password= метод.

Давайте посмотрим на код has_secure_password:

    # File activemodel/lib/active_model/secure_password.rb, line 53
    def has_secure_password(options = {})
      # Load bcrypt gem only when has_secure_password is used.
      # This is to avoid ActiveModel (and by extension the entire framework)
      # being dependent on a binary library.
      begin
        require "bcrypt"
      rescue LoadError
        $stderr.puts "You don't have bcrypt installed in your application. Please add it to your Gemfile and run bundle install"
        raise
      end

      include InstanceMethodsOnActivation

      if options.fetch(:validations, true)
        include ActiveModel::Validations

        # This ensures the model has a password by checking whether the password_digest
        # is present, so that this works with both new and existing records. However,
        # when there is an error, the message is added to the password attribute instead
        # so that the error message will make sense to the end-user.
        validate do |record|
          record.errors.add(:password, :blank) unless record.password_digest.present?
        end

        validates_length_of :password, maximum: ActiveModel::SecurePassword::MAX_PASSWORD_LENGTH_ALLOWED
        validates_confirmation_of :password, allow_blank: true
      end
    end

Мы можем видеть, что он ничего не хэширует и не шифрует. Тем не менее, мы замечаем:

      include InstanceMethodsOnActivation

Если мы пойдем на документацию InstanceMethodsOnActivation мы получаем следующий код:

def password=(unencrypted_password)
  if unencrypted_password.nil?
    self.password_digest = nil
  elsif !unencrypted_password.empty?
    @password = unencrypted_password
    cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
    self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost)
  end
end

Следовательно, has_secure_password ничего не шифрует / хэширует, НО включает InstanceMethodsOnActivation модуль. Этот модуль определяет password= метод. Важной частью этого метода является:

self.password_digest = BCrypt::Password.create(unencrypted_password, cost: cost)

Давай теперь посмотрим BCrypt::Password.create код:

  def create(secret, options = {})
    cost = options[:cost] || BCrypt::Engine.cost
    raise ArgumentError if cost > 31
    Password.new(BCrypt::Engine.hash_secret(secret, BCrypt::Engine.generate_salt(cost)))
  end

  def valid_hash?(h)
    h =~ /^\$[0-9a-z]{2}\$[0-9]{2}\$[A-Za-z0-9\.\/]{53}$/
  end
end

В этом методе мы, в частности, замечаем:

Password.new(BCrypt::Engine.hash_secret(secret, BCrypt::Engine.generate_salt(cost)))

Похоже, это хеш, который логичен (вы все равно не хотите расшифровывать пароль).