ruby-on-rails - Rails：如果数据库中没有密码字段，如何从输入中验证密码

Question

我有带有字段的表email：password_hash和salt。

在用户注册时，我想验证密码和密码确认，但我总是收到can't be blank提示输入密码的错误。

这是我的模型：

attr_accessor :password

validates :password, :presence     => true,
                     :confirmation => true,
                     :length       => { :within => 6..40 }

我来宾我无法验证不是数据库的字段，但是如何验证用户输入的密码？

我在数据库中没有密码字段，因为我加密了password我得到的输入，然后我将它存储在 dbpassword_hash字段中。

编辑：

这是数据库表：

class CreateStudents < ActiveRecord::Migration
  def change
    create_table :students do |t|
      t.string :first_name
      t.string :last_name
      t.string :email
      t.string :password_hash
      t.string :salt

      t.boolean :activated

      t.timestamps
    end
  end
end

这是注册视图：

<%= form_for @student, url: {action: 'create'} do |form| %>

  <p style="font-size:smaller; color:red">
  <% @student.errors.messages.each do |att, msg| %>
    <%= msg[0] %><br>
  <% end %>
  <p>
  <%= form.label :first_name %><br>
  <%= form.text_field :first_name %>
  <p>
  <%= form.label :last_name %><br>
  <%= form.text_field :last_name %>
  <p>
  <%= form.label :email %><br>
  <%= form.text_field :email %>
  <p>
  <%= form.label :password %><br>
  <%= form.password_field :password %>
  <p>
  <%= form.label :password_confirmation %><br>
  <%= form.password_field :password_confirmation %>
  <p>
  <%= form.submit %>

<% end %>

这是控制器：

def sing_up
    @student = Student.new
    render 'sing_up'
end

def create
    @student = Student.new
    @student.first_name = params[:student][:first_name]
    @student.last_name = params[:student][:last_name]
    @student.email = params[:student][:email]

    @student.salt = BCrypt::Engine.generate_salt
    @student.password_hash = BCrypt::Engine.hash_secret(params[:student][:password], @student.salt)
    if @student.save
        redirect_to controller: 'singups', action: 'index'
    else
        render 'sing_up'
    end
end

最后，这是模型

class Student < ActiveRecord::Base
  attr_accessor :password
    validates :first_name, :length => { minimum: 3, message: "first_name" }
    validates :last_name, :length => { minimum: 3, message: "last_name" }
    validates :email, :presence => { message: 'email' },
              :format => { with: /\A[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]+\z/ , message: 'email format' },
              :uniqueness => { message: 'uniqueness?' }
    validates :password, :confirmation => { message: 'password' },
                         :length => { minimum: 6, message: 'password length' }
end

每次用户输入密码时:confirmation => { message: 'password' }，无论密码是什么，它都会在第一次验证时失败。

如果我删除validates :password部分，一切正常，但用户输入的密码未经过验证。

score 3 · Accepted Answer

您正在验证用户的password属性，但您从未首先为其分配值。至少，您需要将其添加到您的控制器代码中：

@student.password = params[:student][:password]
@student.password_confirmation = params[:student][:password_confirmation]

但是，更简洁的方法是使用 mass-assignment - 摆脱所有 @student.xxx = yyy 并将其替换为：

@student = Studen.new(params[:student])

然后，将您的密码散列方法移动到模型中，如果密码属性存在，则在每次保存之前自动触发它：

class User < ActiveRecord::Base
  # ...
  before_save :hash_password, :if => proc{ |u| !u.password.blank? }
  # ....

  protected

  def hash_password
    self.salt = BCrypt::Engine.generate_salt
    self.password_hash = BCrypt::Engine.hash_secret(password, salt)
  end
end

这样，您不必在控制器中执行任何操作，但是：

def create
  @student = Student.new(params[:student])
  if @student.save
    redirect_to controller: 'singups', action: 'index'
  else
    render 'sing_up'
  end
end

并在您的模型中拥有所有其他逻辑，它所属的位置。

编辑：为了使批量分配与最新版本的 Rails 3 一起使用，您需要像这样设置要分配的属性attr_accessible，如下所示：

class Student < ActiveRecord::Base
  # ...
  attr_accessible :first_name, :last_name, :email, :password # but NOT the hash or salt!!

end

score 1 · Accepted Answer

您应该查看从头开始处理身份验证的 Railscast，所有内容都在此处进行了解释http://railscasts.com/episodes/250-authentication-from-scratch

这里有一个更新的演员表http://railscasts.com/episodes/250-authentication-from-scratch-revised但您需要订阅才能查看（非常值得 IMO）

score 0 · Accepted Answer

您需要将用户输入的密码转换成加密值，然后将加密值与password_hash中的值进行比较，看是否匹配。这就是您验证用户是否是正确用户的方式。如果您的模型没有密码字段（不应该）并不重要，因为您不直接比较密码中的值。

有不同的加密方法，但重要的是你如何首先将原始密码加密到 password_hash 中（你是如何生成“password_hash”的？）。使用相同的方法检查新密码提交。

score 0 · Accepted Answer

您可以使用自定义验证来检查密码和密码确认。

class User< ActiveRecord::Base
  attr_accessor :password, :password_confirmation 
  validate :valid_password

  def valid_password
    if password.blank? || password_confirmation.blank?
      errors.add(:password, 'password must not be blank')
    end

    if password != password_confirmation
      errors.add(:password, 'password and confirmation does not match')
    end
  end

end

这样，它会检查密码和确认是否存在并同时存在。

ruby-on-rails - Rails：如果数据库中没有密码字段，如何从输入中验证密码

4 回答 4

Related

Reference