ruby中的安全密码

ActiveModel::SecurePassword提供安全加密密码的功能,这个模块提供has_secure_password类方法,它定义了一个名为password和一个名为password_confirmation的属性,而且有相应的数据验证,但是has_secure_password只在对象创建时对密码进行验证。之后的操作便不再验证(例如update),这个可以接受,因为这意味着你可以从数据库加载用户,在不知道密码的情况下修改和保存用户。

1. 使用要求

  • gemfile中添加 gem bcrypt

ActiveModel::SecurePassword 依赖 bcrypt, 所以要再gemfile中加入这个gem,ActiveModel::SecurePassword才能正确运行。

  • 模型中增加password_digest字段

为了使用安全密码,模型中必须定义一个password_digest字段,用来存储加密后的密码。

rails g migrate add_password_digest_to_persons
...

2. 提供验证

  • has_secure_password类方法会默认为password属性添加如下述数据验证

  1. 密码存在验证
  2. 密码等于确认密码验证(使用password_confirmation属性)
  3. 密码的最大长度为72(ActiveModel::SecurePassword 依赖的 bcrypt 的要求)
  • has_secure_password类方法会为password_confirmation属性,提供密码一致性的验证方法

但是必须要在model中添加

validates_confirmation_of :password

只有当该属性password_confirmation为非nil值时才触发验证。如果该属性非nil,则其值必须与password属性相等(也就是rails不强制使用密码一致性验证,但是如果个人需要使用可以按如上方法添加)

示例
class Person
  include ActiveModel::SecurePassword
  #这会为model增加两个属性,password和password_confirmation,这两个属性属于model但是并不存在于数据库中,所以我们在数据库中并不需要存储密码明文
  has_secure_password
  #在has_secure_password对password属性提供的基础的验证方法之外添加额外密码长度的验证
  validates :password, :length => { :minimum => 5 }
end
 
person = Person.new
 
# 密码为空时
person.valid? # => false
 
# 密码确认与密码不匹配时
person.password = 'aditya'
person.password_confirmation = 'nomatch'
person.valid? # => false
 
# 密码长度超过 72 时
person.password = person.password_confirmation = 'a' * 100
person.valid? # => false
 
# 只有密码,没有密码确认
person.password = 'aditya'
person.valid? # => true
 
# 所有数据验证都通过时
person.password = person.password_confirmation = 'aditya'
person.valid? # => true

3. 免验证

当我们通过第三方应用登录的用户,是不需要密码的,就可以添加参数validations: false移除验证规则

has_secure_password :validations => false

你可能感兴趣的:(ruby中的安全密码)