質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

Q&A

1回答

674閲覧

Digest::SHA512でpasswordをハッシュ化してDBに保存したい

suzaku

総合スコア1

Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Ruby on Rails

Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

0グッド

0クリップ

投稿2021/04/28 09:34

やりたいこと

現在個人アプリを作成しており、勉強のためユーザー登録の際に入力されたpasswordを、bcryptなどのgemは利用せずにDigest::SHA512メソッドを使用してDBにハッシュ化してから登録したいと考えています。

createアクションでUser.saveする前に1度user_paramsをハッシュに変換して、passwordを取り出し、SHAメソッドでハッシュ化してから登録したいと考えているのですが、その方法が分からず詰まっています。

現在のソースコード

users_controller.rb

ruby

1 def create 2 3 @user = User.new(user_params) 4 if @user.save 5 flash[:success] = 'ユーザー登録が完了しました' 6 redirect_to root_path 7 else 8 render :new 9 end 10 end 11 12 private 13 14 def user_params 15 params.require(:user).permit(:name, :email, :password) 16 end 17end

new.html.erb

html

1<div class="container"> 2 <div class="row"> 3 <div class="col-md-6 col-md-offset-3"> 4 <div class="text-left h1">ユーザー登録</div> 5 <%= form_with model: @user, url: users_path do |f| %> 6 <% if @user.errors.any? %> 7 <ul> 8 <% @user.errors.full_messages.each do |message| %> 9 <li><%= message %></li> 10 <% end %> 11 </ul> 12 <% end %> 13 <div class = 'form-group'> 14 <%= f.label :name %> 15 <%= f.text_field :name, class: 'form-control' %> 16 </div> 17 <div class = 'form-group'> 18 <%= f.label :email %> 19 <%= f.email_field :email, class: 'form-control' %> 20 </div> 21 <div class = 'form-group'> 22 <%= f.label :password_digest %> 23 <%= f.password_field :password, class: 'form-control' %> 24 </div> 25 <%= f.submit "登録", class: 'btn btn-primary' %> 26 <% end %> 27 </div> 28 </div> 29 </div> 30</div>

一通りの実装の流れや考え方などについてご教授いただけると大変助かります。
よろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

Railsのhas_secure_passwordの実装が参考になると思います。

気をつけるべきは「認証時に単純な文字列比較を行わない」ことです。
単純な比較を行った場合、タイミング攻撃によってパスワード(のハッシュ)を解析される恐れがあります。
ActiveSupport::SecurityUtils.secure_compareなどで定数時間で返るようにした方が堅牢です。

まぁ、そもそもSHA512では速すぎて弱いらしい事は頭の隅に置いといた方がいいでしょう。

投稿2021/04/28 12:10

asm

総合スコア15149

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

suzaku

2021/04/29 09:26

ご回答いただきありがとうございます! 今回は個人アプリ作成でユーザー登録、ログイン等の実装の際に「入力されたパスワードを暗号化してDBに保存する」流れをDeviceやbcryptを使用せず実装したいと考えていますが 今後はセキュリティの面もしっかり考慮していきたいと思っていますので、 SHA512ではセキュリティ面が弱いということは覚えておきたいと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問