Q&A
やりたいこと
現在個人アプリを作成しており、勉強のためユーザー登録の際に入力されたpasswordを、bcryptなどのgemは利用せずにDigest::SHA512メソッドを使用してDBにハッシュ化してから登録したいと考えています。
createアクションでUser.saveする前に1度user_paramsをハッシュに変換して、passwordを取り出し、SHAメソッドでハッシュ化してから登録したいと考えているのですが、その方法が分からず詰まっています。
現在のソースコード
users_controller.rb
ruby
1 def create 2 3 @user = User.new(user_params) 4 if @user.save 5 flash[:success] = 'ユーザー登録が完了しました' 6 redirect_to root_path 7 else 8 render :new 9 end 10 end 11 12 private 13 14 def user_params 15 params.require(:user).permit(:name, :email, :password) 16 end 17end
new.html.erb
html
1<div class="container"> 2 <div class="row"> 3 <div class="col-md-6 col-md-offset-3"> 4 <div class="text-left h1">ユーザー登録</div> 5 <%= form_with model: @user, url: users_path do |f| %> 6 <% if @user.errors.any? %> 7 <ul> 8 <% @user.errors.full_messages.each do |message| %> 9 <li><%= message %></li> 10 <% end %> 11 </ul> 12 <% end %> 13 <div class = 'form-group'> 14 <%= f.label :name %> 15 <%= f.text_field :name, class: 'form-control' %> 16 </div> 17 <div class = 'form-group'> 18 <%= f.label :email %> 19 <%= f.email_field :email, class: 'form-control' %> 20 </div> 21 <div class = 'form-group'> 22 <%= f.label :password_digest %> 23 <%= f.password_field :password, class: 'form-control' %> 24 </div> 25 <%= f.submit "登録", class: 'btn btn-primary' %> 26 <% end %> 27 </div> 28 </div> 29 </div> 30</div>
一通りの実装の流れや考え方などについてご教授いただけると大変助かります。
よろしくお願いいたします。
回答1件
0
Railsのhas_secure_passwordの実装が参考になると思います。
気をつけるべきは「認証時に単純な文字列比較を行わない」ことです。
単純な比較を行った場合、タイミング攻撃によってパスワード(のハッシュ)を解析される恐れがあります。
ActiveSupport::SecurityUtils.secure_compareなどで定数時間で返るようにした方が堅牢です。
まぁ、そもそもSHA512では速すぎて弱いらしい事は頭の隅に置いといた方がいいでしょう。
投稿2021/04/28 12:10
総合スコア15147
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/04/29 09:26