質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.61%

「Ruby on Rails」パスワードのみのログインフォームを作りたい

解決済

回答 2

投稿

  • 評価
  • クリップ 0
  • VIEW 987

ym12

score 12

こんにちは。

自分は、すでに用意してあるアカウントに、パスワードのみでログインさせる機能を実装しています。

機能の構想としては、フォームに入力されたパスワードをその場でハッシュ化して、DBの password_digest カラムの値と直接比較し、一致するものがあればログインさせるといったものです。
ただ、その方法がよくわからず困っています。

  def login
  #フォームに入力されたパスワードをハッシュ化
    @password = BCrypt::Password.create(params[:password])
  #上で暗号化したパスワードとpassword_digestが一致するものを探す
    @user = Certification.find_by(password_digest: @password)

    if @user
      session[:user_id] = @user.id
      redirect_to("#")
    else
      @error_message = "パスワードが間違っています"
      render("#")
    end

  end

とりあえず調べながら上のコードを書いたのですがやはりうまくいきませんでした。

何か解決策がありましたら教えていただきたいです。
よろしくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

checkベストアンサー

+2

機能の構想としては、フォームに入力されたパスワードをその場でハッシュ化して、DBの password_digest カラムの値と直接比較し、一致するものがあればログインさせるといったものです。

このような仕組みは、二重の意味で取るべきでありません

  • 第三者が使っているパスワードと重なってしまえば、それだけでアカウントを乗っ取れてしまいます。
  • BCrypt::Password.createでは自動でソルトを生成しますので、同じパスワードをハッシュ化しても結果は一致しません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/10/15 15:32

    ご回答ありがとうございます。
    確かにおっしゃる通りです。勉強になります。
    この方法はやめようと思います。
    ただ、勉強という意味で、同じパスワードをハッシュ化して結果を一致させる方法はありますか?
    もしあれば教えていただきたいです。

    キャンセル

  • 2018/10/15 15:34

    「同じパスワードをハッシュ化して結果を一致させる方法」はありますが、攻撃に弱くなる(たとえば、パスワードリストを見れば同じパスワードを設定しているのがわかるようになる)ので、基本的に取るべきではありません。

    キャンセル

  • 2018/10/15 15:48

    なるほど。ありがとうございます。
    ちなみに自分はこの機能を、クローズドなアプリの認証のために使うつもりだったのですが、他に何か方法があれば教えていただきたいです。

    キャンセル

+2

maisumakun様の意見と同じく、行うべきではないです。
別な観点からの意見ですが、ユーザ登録時はどのようにするのでしょうか?

構想上、同じパスワードは使えないはずなので、
仮に同じパスワードを入力した人がいればエラーを出すはずです。

そうすると既にそのパスワードを使った人がいるとわかり、
ログインでそのパスワードを入力すれば簡単に入れてしまいます。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/10/15 15:45

    クローズドで使う予定だったので、アカウントの新規登録は考えていませんでした。
    しかし、maisumakun様の回答にあるような場合を考えていなかったので、確かに行うべきではないと思いました。
    もう少し具体的に書くべきでした。申し訳ないです。

    キャンセル

  • 2018/10/15 15:50

    なるほどクローズドでかつ複数人で使用しないのであれば新規登録は考慮しなくてもいいですね。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る