security - Rails has_secure_password: is it actually hashing the password in the DB? -
हालांकि, जब मैं कंसोल सत्र को बंद करता हूं और एक नया प्रारंभ करता हूं, तब मैं सादा पाठ प्राप्त नहीं कर सकता: मैं मान रहा हूँ कि सादा पाठ पासवर्ड केवल पहले स्थिति में ही पुनर्प्राप्त करने योग्य है क्योंकि यह स्मृति में संग्रहीत किया जा रहा है और जब मैं कॉल करता हूं मैंने हमेशा सोचा था कि मैं बस यह सुनिश्चित कर रहा हूं कि मेरा मानना है कि पासवर्ड एक असली हैश (यानी, मूल पासवर्ड पुनः प्राप्त नहीं कर सकता) के रूप में संग्रहीत है मान्य है। मैंने पढ़ा है, लेकिन उसने मेरे सवाल को स्पष्ट नहीं किया। आप सही हैं ??? ? डीबी केवल हैहेड पासवर्ड सहेज रहा है, न कि खुद पासवर्ड। आप डेटाबेस को सीधे has_secure_password के साथ विशिष्ट रेल 4.1 ऐप का उपयोग कर और उपयोगकर्ता मॉडल में है डीबी में एक password_digest कॉलम जब मैं एक नया उपयोगकर्ता बनाऊँ, तो मैं अब भी कंसोल में सादा पाठ का उपयोग कर सकता हूं:
# rails console & gt; यू = यूज़र। न्यू (ईमेल: "test@test.com", पासवर्ड: "पासवर्ड") & gt; u.save & gt; u.password = & gt; "पासवर्ड" & gt; u.password_digest = & gt; "Xjdk ..."
# कंसोल सत्र के ऊपर बंद करें और एक नया खाता खोलें & gt; u = User.find_by (ईमेल: "test@test.com") & gt; u.password = & gt; शून्य u.password = & gt; "पासवर्ड" यह मेमोरी से मान पुनर्प्राप्त कर रहा है, डाटाबेस नहीं है। has_secure_password को एक हैश के रूप में (नमक + पासवर्ड) संग्रहीत किया जाता है I सोचा था कि यह सैद्धांतिक रूप से असंभव था (यदि मैं उस शब्दावली का उपयोग कर सकता हूं) को password_digest रिवर्स करने के लिए और मूल पासवर्ड प्राप्त कर सकता हूं। read_attribute पद्धति () का उपयोग करके इसकी पुष्टि कर सकते हैं:
& gt; यू = उपयोगकर्ता.न्यू एक ?? | & gt; u.read_attribute (: password_digest) = & gt; # कुछ हैश & gt; u.read_attribute (: पासवर्ड) = & gt; संयोग से, यह भी सुनिश्चित कर लें कि आपका उपयोगकर्ता मॉडल नहीं में पासवर्ड कॉलम है । अन्यथा यह पासवर्ड को हैशिंग के उद्देश्य से सीधे पासवर्ड को बचाएगा।
Comments
Post a Comment