ActiveModel::SecurePassword提供安全加密密码的功能,这个模块提供has_secure_password类方法,它定义了一个名为password和一个名为password_confirmation的属性,而且有相应的数据验证,但是has_secure_password只在对象创建时对密码进行验证。之后的操作便不再验证(例如update),这个可以接受,因为这意味着你可以从数据库加载用户,在不知道密码的情况下修改和保存用户。
1. 使用要求
-
gemfile中添加
gem bcrypt
ActiveModel::SecurePassword 依赖 bcrypt, 所以要再gemfile中加入这个gem,ActiveModel::SecurePassword才能正确运行。
-
模型中增加
password_digest字段
为了使用安全密码,模型中必须定义一个password_digest字段,用来存储加密后的密码。
rails g migrate add_password_digest_to_persons
...
2. 提供验证
-
has_secure_password类方法会默认为password属性添加如下述数据验证
- 密码存在验证
- 密码等于确认密码验证(使用
password_confirmation属性) - 密码的最大长度为72(
ActiveModel::SecurePassword依赖的bcrypt的要求)
-
has_secure_password类方法会为password_confirmation属性,提供密码一致性的验证方法
但是必须要在model中添加
validates_confirmation_of :password
只有当该属性password_confirmation为非nil值时才触发验证。如果该属性非nil,则其值必须与password属性相等(也就是rails不强制使用密码一致性验证,但是如果个人需要使用可以按如上方法添加)
示例
class Person
include ActiveModel::SecurePassword
#这会为model增加两个属性,password和password_confirmation,这两个属性属于model但是并不存在于数据库中,所以我们在数据库中并不需要存储密码明文
has_secure_password
#在has_secure_password对password属性提供的基础的验证方法之外添加额外密码长度的验证
validates :password, :length => { :minimum => 5 }
end
person = Person.new
# 密码为空时
person.valid? # => false
# 密码确认与密码不匹配时
person.password = 'aditya'
person.password_confirmation = 'nomatch'
person.valid? # => false
# 密码长度超过 72 时
person.password = person.password_confirmation = 'a' * 100
person.valid? # => false
# 只有密码,没有密码确认
person.password = 'aditya'
person.valid? # => true
# 所有数据验证都通过时
person.password = person.password_confirmation = 'aditya'
person.valid? # => true
3. 免验证
当我们通过第三方应用登录的用户,是不需要密码的,就可以添加参数validations: false移除验证规则
has_secure_password :validations => false
