"BCrypt::Errors:: InvalidHash" podczas próby zalogowania

Question

"BCrypt::Errors:: InvalidHash" podczas próby zalogowania

Próbuję dokończyć projekt. Pracuję z modelami użytkowników. Kiedy się zapisuję wszystko wydaje się w porządku . Ale kiedy próbuję podpisać tego samego członka, dostaję ten błąd.

Przykro nam, ale coś poszło nie tak. heroku logs plik pokazuje błąd jako:

BCrypt::Errors::InvalidHash (invalid hash):
  app/controllers/sessions_controller.rb:8:in `create'

My * sessions_controller * to:

class SessionsController < ApplicationController

  def new
  end

   def create
    user = User.find_by_email(params[:session][:email])
    if user && user.authenticate(params[:session][:password])
      sign_in user
      redirect_to user
    else
      flash.now[:error] = 'Invalid email/password combination'
      render 'new'
    end
  end


  def destroy
    sign_out
    redirect_to root_path
  end
end

I model użytkownika to:

class User < ActiveRecord::Base
  attr_accessible :email, :name, :nickname,:password, :password_confirmation 
  has_secure_password


  before_save { |user| user.email = email.downcase }
  before_save { |user| user.nickname = nickname.downcase }
  before_save :create_remember_token
....validations......

    private

    def create_remember_token
      self.remember_token = SecureRandom.urlsafe_base64
    end
end

To moja sesja.helper

module SessionsHelper

  def sign_in(user)
    cookies.permanent[:remember_token] = user.remember_token
    self.current_user = user
  end
  def signed_in?
    !current_user.nil?
  end

  def current_user=(user)
    @current_user = user
  end

  def current_user
    @current_user ||= User.find_by_remember_token(cookies[:remember_token])
  end

  def sign_out
    self.current_user = nil
    cookies.delete(:remember_token)
  end
end

Próbowałem heroku Rake db: migrate, heroku restart.. nie ma zmian.

40

bcrypt ruby-on-rails heroku

Author: Ben Lee, 2012-06-14

Source

2 answers

Miałem już żywych użytkowników, a także zapisałem niezaszyfrowane hasła do bazy danych. Gdy zacząłem używać bcrypt, spodziewał się zaszyfrowanego hasła, a kiedy go nie znalazł, wytworzył ten błąd.

Dlatego dodałem ten ratunek, aby złapać błąd i poprosić starszych użytkowników o zresetowanie hasła:

begin
    # your code that attempts to login the user
rescue BCrypt::Errors::InvalidHash
  flash[:error] = 'We recently adjusted the way our passwords are stored. Please click the "forgot username or password?" link to re-establish your password. Thank you for your understanding!'
  redirect_to password_resets_url
end

Mam nadzieję, że to pomoże.

9

Author: nfriend21,
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2014-11-06 15:30:47

score 73 · Accepted Answer

Oznacza to, że hash przechowywany w password_digest nie jest prawidłowym Hashem BCrypt (także jeśli pole jest puste).

Bazując na komentarzach, wygląda na to, że po prostu utworzyłeś użytkownika w czasie, gdy has_secure_password tam nie było, więc hasło nigdy nie zostało zapisane. Poszukaj w bazie danych, prawdopodobnie zobaczysz, że {[2] } jest pusty dla tego użytkownika. Usuń Użytkownika z bazy danych i ponownie utwórz nowy kod roboczy i powinien działać.

Podczas dyskusji z w komentarzach jednak, zrobiłem (niepoprawne) zgaduj, dlaczego hasła byłyby błędne, a już napisałem Wyjaśnienie. Tak więc tutaj jest dla każdego przyszłego odwiedzającego, który ma ten problem, mimo że nie dotyczy to bezpośrednio tutaj: {]}

Zwykle dzieje się tak, gdy przełączysz się z SHA1 lub innego algorytmu na BCrypt, ale nie uda Ci się ponownie hashować haseł w BCrypt. Ponieważ nie masz dostępu do oryginalnych haseł (a przynajmniej nie powinieneś...), trochę brzydko się przełącza, bo trzeba użyć zarówno BCrypt jak i oryginalny schemat uwierzytelniania. Na przykład, jeśli wcześniej używałeś SHA1, a teraz używasz BCrypt, musisz traktować hash hasła SHA1 jako zwykłe hasło tekstowe dla wejścia BCrypt. Na przykład możesz utworzyć skrót BCrypt w następujący sposób:

sha1_password = Digest::SHA1.hexdigest("#{salt}#{real_password}")
self.password_digest = BCrypt::Password.create(sha1_password).to_s

Następnie możesz utworzyć bcrypt password_digests na podstawie hashów haseł sha1, do których masz dostęp .

Uwierzytelniłbyś tak:

sha1_password = Digest::SHA1.hexdigest("#{salt}#{attempted_password}")
BCrypt::Password.new(self.password_digest) == sha1_password

Użyłem SHA1 w powyższe przykłady, ale będzie to działać również dla innych algorytmów haszujących.