0
我想在不使用設計的ruby應用程序中存儲和驗證密碼,並使它們與使用設計的未來應用程序兼容。設計使用的默認密碼哈希方案是什麼,並且可以從設計中提取和使用這個組件?什麼密碼散列算法確實使用?
A
回答
1
Devise的DatabaseAuthenticatable模塊使用BCrpyt來散列密碼,包裝在Devise::Encryptor模塊中。的相關方法,digest,是非常簡單的:
def self.digest(klass, password)
if klass.pepper.present?
password = "#{password}#{klass.pepper}"
end
::BCrypt::Password.create(password, cost: klass.stretches).to_s
end
klass僅用於取幾個參數:pepper,它被附加到所述密碼預先散列但不存儲在數據庫中的字符串(不象鹽,它也被附加,但與密碼一起存儲在數據庫中);和cost,這是散列應該有多安全的度量(請參閱the docs)。這兩個都是靜態的,您可以將它們硬編碼到您的非Devise應用程序中(但請確保保持pepper的祕密!)。
所以,你的哈希方法可能會被寫成一樣:
def self.digest(password)
password = "#{password}#{ENV['PASSWORD_PEPPER']}"
::BCrypt::Password.create(password, cost: 10).to_s
end
相關問題
- 1. Windows 10使用什麼散列算法來存儲密碼?
- 2. PHP重寫密碼散列函數使用什麼算法?
- 3. 什麼是密碼/散列?
- 4. 什麼是C#支持的最安全密碼散列算法?
- 5. 什麼是SHA256密碼散列的正確BigQuery語法?
- 6. asp.net:存儲密碼散列算法
- 7. 使用Linux用來散列用戶密碼的算法散列字符串?
- 8. 從crackstation.net實現密碼散列/醃製算法
- 9. 使用md5散列密碼
- 10. Cake 1.3使用哪個算法來散列密碼?
- 11. Rails authlogic密碼散列算法只使用紅寶石
- 12. 在這裏使用哪種算法來散列密碼?
- 13. VB.Net密碼散列做法
- 14. 散列密碼
- 15. 散列密碼
- 16. 密碼散列
- 17. 散列密碼
- 18. 散列密碼
- 19. 實現Dijkstra的在Java中使用算法的散列碼
- 20. 什麼是在現代目標c中散列密碼的正確方法?
- 21. MongoDB用於散列數據庫用戶密碼的散列函數是什麼?
- 22. 哪種算法首選用於散列密碼C#?
- 23. 使用HTTPS時散列用戶密碼
- 24. 哪種散列算法可以使用.NET,我可以使用java對這些散列執行密碼檢查
- 25. 散列用戶密碼
- 26. 禁用Wordpress密碼散列
- 27. password_verify - 密碼散列
- 28. 散列密碼,SQL
- 29. PHP:密碼散列
- 30. 散列密碼的加密?
的辣椒是所有用戶一樣嗎? – fields
不應該從一個範圍中隨機分配嗎?然後在驗證密碼時測試每個可能的值?它也可以使用鹽嗎? – fields
胡椒對於所有用戶都是一樣的,但不存儲在數據庫中(即,不與散列一起存儲)。鹽是隨機產生的(由Bcrpyt,因此爲什麼沒有提到它),但與散列一起存儲。兩者的結合提供了一些額外的安全性,因爲攻擊者需要數據庫和代碼庫才能進行強力攻擊。 –