【发布时间】:2011-07-30 04:21:11
【问题描述】:
在 Rails 3 设计中,用户记录有一个 encrypted_password 和一个 password_salt。
如何在控制台中获取用户密码?如何解密?
【问题讨论】:
标签: ruby-on-rails ruby-on-rails-3 devise
【发布时间】:2011-07-30 04:21:11
【问题描述】:
【讨论】:
-
我们应该简单而轻描淡写地强调永远,永远——我再说一遍,永远永远不要解密用户密码!就像您不解密用户的信用卡信息一样。您只需为他们提供一个方法,让他们自己重置它。
-
@Ekampp 当您需要密码与 IMAP 等外部服务进行交互时,您将遇到不解密的问题。当然,解决方案可以使用带有证书的 oath2 身份验证,但这会增加很多开销。有时 AES 身份验证是有意义的。
Devise 使用 BCrypt。您需要修改 USERS 表中的 encrypted_password 字段并输入新的加密密码。
您可以在本网站生成新的加密密码: http://www.bcrypt-generator.com/
【讨论】:
-
如果您想要一种简单的方法来验证用户帐户以调试某些东西,这是一个很好的方法!只需记住保存他们的加密密码,以便在完成后重新保存。 :: 我采取的步骤 - u = User.find(:ID) - u.encrypted_password - 在某处存储密码 - u.password = "new_password" - u.save - 调试问题 - u.encrypted_password = :stored_encrypted_password: - u.save
我认为这些密码是一种加密方式:您可以获取用户提供的密码,对其进行加密并将其与数据库中的加密密码进行比较(如果匹配 - 成功尝试)。但是无法对数据库中的密码进行解密,因此没有人可以获取所有密码。这是一项安全功能。
【讨论】:
class User < ActiveRecord::Base
devise :database_authenticatable...
def verify_password?(password)
encryptor_class = Devise::Encryptors.const_get(Devise.encryptor.to_s.classify)
encryptor_digest = encryptor_class.digest(password, Devise.stretches, self.password_salt, Devise.pepper)
encryptor_digest == self.encrypted_password
end
end
【讨论】: