53

プロジェクトを終了しようとしています。私はユーザーモデルを扱っています。サインアップすると、すべて問題ないようです。しかし、同じメンバーにサインインしようとすると、このエラーが発生します。

申し訳ございません。不具合が発生しました。 herokuログファイルに次のようなエラーが表示されます:

BCrypt::Errors::InvalidHash (invalid hash):
  app/controllers/sessions_controller.rb:8:in `create'

私の*sessions_controller*は:

class SessionsController < ApplicationController

  def new
  end

   def create
    user = User.find_by_email(params[:session][:email])
    if user && user.authenticate(params[:session][:password])
      sign_in user
      redirect_to user
    else
      flash.now[:error] = 'Invalid email/password combination'
      render 'new'
    end
  end


  def destroy
    sign_out
    redirect_to root_path
  end
end

そしてユーザーモデルは:

class User < ActiveRecord::Base
  attr_accessible :email, :name, :nickname,:password, :password_confirmation 
  has_secure_password


  before_save { |user| user.email = email.downcase }
  before_save { |user| user.nickname = nickname.downcase }
  before_save :create_remember_token
....validations......

    private

    def create_remember_token
      self.remember_token = SecureRandom.urlsafe_base64
    end
end

これは私のsession.helperです

module SessionsHelper

  def sign_in(user)
    cookies.permanent[:remember_token] = user.remember_token
    self.current_user = user
  end
  def signed_in?
    !current_user.nil?
  end

  def current_user=(user)
    @current_user = user
  end

  def current_user
    @current_user ||= User.find_by_remember_token(cookies[:remember_token])
  end

  def sign_out
    self.current_user = nil
    cookies.delete(:remember_token)
  end
end

heroku rake db:migrate、herokurestartを試しました。変更はありません。

4

3 に答える 3

91

これは、に保存されているハッシュpassword_digestが有効なBCryptハッシュではないことを意味します(フィールドが空の場合を含む)。

コメントによると、そこにいなかったときにユーザーを作成したように見えるhas_secure_passwordため、パスワードダイジェストが保存されることはありません。データベースを見ると、おそらくpassword_digestそのユーザーにとっては空であることがわかります。データベースからユーザーを削除し、新しい機能するコードで再作成すると、機能するはずです。

コメントで話し合っている間、私はパスワードが間違っている理由について(間違った)推測をしました、そして私はすでに説明を書きました。したがって、ここでは直接適用されませんが、この問題が発生する将来の訪問者向けです。

これは通常、SHA1または別のアルゴリズムの使用からBCryptに切り替えたが、BCryptでパスワードを再ハッシュできなかった場合に発生します。元のパスワードにアクセスできないため(または少なくともアクセスすべきではありません...)、BCryptと元の認証スキームの両方を使用する必要があるため、切り替えるのは少し醜いです。たとえば、以前にSHA1を使用していて、現在はBCryptを使用している場合、SHA1パスワードハッシュをBCrypt入力のプレーンテキストパスワードとして扱う必要があります。たとえば、次のようなBCryptダイジェストを作成できます。

sha1_password = Digest::SHA1.hexdigest("#{salt}#{real_password}")
self.password_digest = BCrypt::Password.create(sha1_password).to_s

次に、アクセスできるsha1パスワードハッシュに基づいてbcryptpassword_digestsを作成できます

次のように認証します。

sha1_password = Digest::SHA1.hexdigest("#{salt}#{attempted_password}")
BCrypt::Password.new(self.password_digest) == sha1_password

上記の例ではSHA1を使用しましたが、これは他のハッシュアルゴリズムでも機能します。

于 2012-06-14T17:37:30.667 に答える
14

BCrypt gemのアップデートにより、この問題が修正されました

于 2021-01-07T06:52:28.203 に答える
13

私にはすでにライブユーザーがいて、同様に暗号化されていないパスワードをデータベースに保存しています。bcryptを使い始めると、暗号化されたパスワードが必要でしたが、見つからなかった場合、このエラーが発生しました。

したがって、エラーをキャッチし、レガシーユーザーにパスワードをリセットするように促すために、このレスキューを追加しました。

begin
    # your code that attempts to login the user
rescue BCrypt::Errors::InvalidHash
  flash[:error] = 'We recently adjusted the way our passwords are stored. Please click the "forgot username or password?" link to re-establish your password. Thank you for your understanding!'
  redirect_to password_resets_url
end

お役に立てれば。

于 2014-11-06T15:30:47.973 に答える