質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

ログイン

ログインは、ユーザーがコンピューターシステムにアクセスするプロセスの事を呼びます。

Q&A

解決済

2回答

1967閲覧

「Ruby on Rails」パスワードのみのログインフォームを作りたい

ym12

総合スコア12

Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

ログイン

ログインは、ユーザーがコンピューターシステムにアクセスするプロセスの事を呼びます。

0グッド

0クリップ

投稿2018/10/15 06:14

こんにちは。

自分は、すでに用意してあるアカウントに、パスワードのみでログインさせる機能を実装しています。

機能の構想としては、フォームに入力されたパスワードをその場でハッシュ化して、DBの password_digest カラムの値と直接比較し、一致するものがあればログインさせるといったものです。
ただ、その方法がよくわからず困っています。

Ruby

1 def login 2  #フォームに入力されたパスワードをハッシュ化 3 @password = BCrypt::Password.create(params[:password]) 4  #上で暗号化したパスワードとpassword_digestが一致するものを探す 5 @user = Certification.find_by(password_digest: @password) 6 7 if @user 8 session[:user_id] = @user.id 9 redirect_to("#") 10 else 11 @error_message = "パスワードが間違っています" 12 render("#") 13 end 14 15 end

とりあえず調べながら上のコードを書いたのですがやはりうまくいきませんでした。

何か解決策がありましたら教えていただきたいです。
よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

maisumakun様の意見と同じく、行うべきではないです。
別な観点からの意見ですが、ユーザ登録時はどのようにするのでしょうか?

構想上、同じパスワードは使えないはずなので、
仮に同じパスワードを入力した人がいればエラーを出すはずです。

そうすると既にそのパスワードを使った人がいるとわかり、
ログインでそのパスワードを入力すれば簡単に入れてしまいます。

投稿2018/10/15 06:24

dice142

総合スコア5158

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ym12

2018/10/15 06:45

クローズドで使う予定だったので、アカウントの新規登録は考えていませんでした。 しかし、maisumakun様の回答にあるような場合を考えていなかったので、確かに行うべきではないと思いました。 もう少し具体的に書くべきでした。申し訳ないです。
dice142

2018/10/15 06:50

なるほどクローズドでかつ複数人で使用しないのであれば新規登録は考慮しなくてもいいですね。
guest

0

ベストアンサー

機能の構想としては、フォームに入力されたパスワードをその場でハッシュ化して、DBの password_digest カラムの値と直接比較し、一致するものがあればログインさせるといったものです。

このような仕組みは、二重の意味で取るべきでありません

  • 第三者が使っているパスワードと重なってしまえば、それだけでアカウントを乗っ取れてしまいます。
  • BCrypt::Password.createでは自動でソルトを生成しますので、同じパスワードをハッシュ化しても結果は一致しません。

投稿2018/10/15 06:19

maisumakun

総合スコア145123

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ym12

2018/10/15 06:32

ご回答ありがとうございます。 確かにおっしゃる通りです。勉強になります。 この方法はやめようと思います。 ただ、勉強という意味で、同じパスワードをハッシュ化して結果を一致させる方法はありますか? もしあれば教えていただきたいです。
maisumakun

2018/10/15 06:34

「同じパスワードをハッシュ化して結果を一致させる方法」はありますが、攻撃に弱くなる(たとえば、パスワードリストを見れば同じパスワードを設定しているのがわかるようになる)ので、基本的に取るべきではありません。
ym12

2018/10/15 06:48

なるほど。ありがとうございます。 ちなみに自分はこの機能を、クローズドなアプリの認証のために使うつもりだったのですが、他に何か方法があれば教えていただきたいです。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問