使用bcrypt的Rails身份驗證錯誤

Question

我有我想在Rails應用程序API上顯示的用戶列表。我正在使用bcrypt來散列密碼。我創建並檢查了我有一個列表的幾個用戶在軌道控制檯上：

2.2.2 :010 > User.all 
    User Load (8.9ms) SELECT "users".* FROM "users" 
=> #<ActiveRecord::Relation [#<User id: 2, created_at: "2016-07-19 06:23:35", updated_at: "2016-07-19 06:23:35", username: "iggy1", encrypted_password: "", reset_password_token: nil, reset_password_sent_at: nil, remember_created_at: nil, sign_in_count: 0, current_sign_in_at: nil, last_sign_in_at: nil, current_sign_in_ip: nil, last_sign_in_ip: nil, password_digest: "$2a$10$We2V5sFx3XJNHP9iHTx.5udLA9hEbJVDOcA01nemj0R...">, 

我在localhost上測試這個。目標是讓我去http://localhost:3000/api/users，並有一個json格式的所有用戶列表。

當我訪問該網站時，系統提示我提示用戶名和密碼。我輸入了用戶名和密碼之一：「iggy1」，「helloworld」。我看到此錯誤消息：

SQLite3::SQLException: no such column: users.password: SELECT "users".* FROM "users" WHERE "users"."username" = ? AND "users"."password" = 'helloworld' 

我的模式是這樣的：

create_table "users", force: :cascade do |t| 
    t.datetime "created_at",       null: false 
    t.datetime "updated_at",       null: false 
    t.string "username" 
    t.string "encrypted_password",  default: "", null: false 
    t.string "reset_password_token" 
    t.datetime "reset_password_sent_at" 
    t.datetime "remember_created_at" 
    t.integer "sign_in_count",   default: 0, null: false 
    t.datetime "current_sign_in_at" 
    t.datetime "last_sign_in_at" 
    t.string "current_sign_in_ip" 
    t.string "last_sign_in_ip" 
    t.string "password_digest" 
    end 

我試着玩了一點點。我遵循bcrypt website上給出的代碼。

這裏是我的代碼：

#controller/api/users_controller.rb 

class UsersController < ApplicationController 
    def create 
    @user = User.new(params[:user]) 
    @user.password = params[:password] 
    @user.save! 
    end 
end 


#controllers/users_controller.rb 

class UsersController < ApplicationController 
    def create 
    @user = User.new(params[:user]) 
    @user.password = params[:password] 
    @user.save! 
    end 
end 


#models/user.rb 

require 'bcrypt' 

class User < ActiveRecord::Base 
    #include 'bcrypt' 
    has_many :lists 
    has_many :items, through: :lists 
    has_secure_password 

    def password 
    @password ||= Password.new(password_hash) 
    end 

    def password=(new_password) 
    @password = Password.create(new_password) 
    self.password_hash = @password 
    end 

end 


#controllers/application_controller.rb 

class ApiController < ApplicationController 
    skip_before_action :verify_authenticity_token 
    private 

def authenticated? 
    authenticate_or_request_with_http_basic {|username, password| User.where(username: username, password: password).present? } 
    end 
end 

#config routes 

Rails.application.routes.draw do 
    namespace :api, defaults: { format: :json} do #supports JSON requests 
    resources :users 
    end 
end 

現在，當我有包括「bcrypt」行取消註釋，我看到一個不同的錯誤，當我去http://localhost:3000/api/users

wrong argument type String (expected Module) 

我有幾個假說爲什麼發生這種情況。

首先，我認爲這是因爲我使用bcrypt，它有password_digest。我的架構上並沒有password（在應用程序控制器上，它顯式地顯示了用戶名和密碼）。我認爲鐵軌可能試圖尋找「密碼」，但找不到它。儘管如此，我還不確定這是否足夠說明情況。

其次，在bcrypt website，我沒有實現下面的代碼，因爲我不知道該把它放在哪裏。這可能是因爲bcrypt沒有按照我的意願行事嗎？

def login 
    @user = User.find_by_email(params[:email]) 
    if @user.password == params[:password] 
     give_token 
    else 
     redirect_to home_url 
    end 
    end 

我不確定缺少什麼。

Answer 1

有你的DB模式進行驗證兩個可用的密碼字段

如果您使用的設計則encrypted_password字段用於存儲密碼。