"BCrypt:: Errors:: InvalidHash" при попытке входа в систему

Я пытаюсь закончить проект. Я работаю с пользовательскими моделями. Когда я подписываюсь, все выглядит нормально. Но когда я пытаюсь войти в один член, я получаю эту ошибку.

Мы сожалеем, но что-то пошло не так. Файл журнала heroku показывает ошибку как:

BCrypt::Errors::InvalidHash (invalid hash):
  app/controllers/sessions_controller.rb:8:in `create'

my * session_controller *:

class SessionsController < ApplicationController

  def new
  end

   def create
    user = User.find_by_email(params[:session][:email])
    if user && user.authenticate(params[:session][:password])
      sign_in user
      redirect_to user
    else
      flash.now[:error] = 'Invalid email/password combination'
      render 'new'
    end
  end


  def destroy
    sign_out
    redirect_to root_path
  end
end

и модель пользователя:

class User < ActiveRecord::Base
  attr_accessible :email, :name, :nickname,:password, :password_confirmation 
  has_secure_password


  before_save { |user| user.email = email.downcase }
  before_save { |user| user.nickname = nickname.downcase }
  before_save :create_remember_token
....validations......

    private

    def create_remember_token
      self.remember_token = SecureRandom.urlsafe_base64
    end
end

это мой session.helper

module SessionsHelper

  def sign_in(user)
    cookies.permanent[:remember_token] = user.remember_token
    self.current_user = user
  end
  def signed_in?
    !current_user.nil?
  end

  def current_user=(user)
    @current_user = user
  end

  def current_user
    @current_user ||= User.find_by_remember_token(cookies[:remember_token])
  end

  def sign_out
    self.current_user = nil
    cookies.delete(:remember_token)
  end
end

Я пробовал heroku rake db: migrate, heroku restart.. нет изменений.

Ответы

Ответ 1

Это означает, что хэш, хранящийся в password_digest, не является допустимым хэшем BCrypt (в том числе, если поле пусто).

Основываясь на комментариях, похоже, что вы только что создали пользователя за раз, когда has_secure_password не было, поэтому дайджест пароля так и не был сохранен. Посмотрите в базе данных, вы, вероятно, увидите, что password_digest пуст для этого пользователя. Удалите пользователя из базы данных и заново создайте с помощью нового рабочего кода, и он должен работать.

Обсуждая в комментариях, я сделал (неверное) предположение о том, почему пароли были бы неправильными, и я уже написал объяснение. Так вот, для любого будущего посетителя эта проблема возникает, хотя она не применяется непосредственно здесь:

Обычно это происходит, когда вы переключаетесь с использования SHA1 или другого алгоритма на BCrypt, но не можете перехватить пароли в BCrypt. Поскольку у вас нет доступа к исходным паролям (или, по крайней мере, вы не должны...), это немного уродливо для переключения, потому что вы должны использовать как BCrypt, так и оригинальную схему аутентификации. Например, если вы использовали SHA1 до и теперь используете BCrypt, вам нужно обработать хэш-код SHA1 как обычный текстовый пароль для ввода BCrypt. Например, вы можете создать дайджест BCrypt следующим образом:

sha1_password = Digest::SHA1.hexdigest("#{salt}#{real_password}")
self.password_digest = BCrypt::Password.create(sha1_password).to_s

Затем вы можете создать bcrypt password_digests на основе хэшей паролей sha1, к которым у вас есть доступ.

Вы должны аутентифицироваться следующим образом:

sha1_password = Digest::SHA1.hexdigest("#{salt}#{attempted_password}")
BCrypt::Password.new(self.password_digest) == sha1_password

Я использовал SHA1 в приведенных выше примерах, но это будет работать и для других алгоритмов хэширования.

Ответ 2

У меня уже были живые пользователи, а также уже сохранены незашифрованные пароли в базе данных. Как только я начал использовать bcrypt, он ожидал зашифрованный пароль, и когда он его не нашел, он произвел эту ошибку.

Поэтому я добавил это спасение, чтобы поймать ошибку и предложить унаследованным пользователям reset их пароль:

begin
    # your code that attempts to login the user
rescue BCrypt::Errors::InvalidHash
  flash[:error] = 'We recently adjusted the way our passwords are stored. Please click the "forgot username or password?" link to re-establish your password. Thank you for your understanding!'
  redirect_to password_resets_url
end

Надеюсь, что это поможет.