«前の日記(2021-01-03) 最新 次の日記(2021-02-19)» 編集

いがいが日記


2021-01-15 [長年日記]

_ has_secure_password から devise へ移行

has_secure_passwordをつかってdigest化してたパスワードデータをそのまま使ってdeviseへ移行できることを確認した。調べたことまとめ。

結論

  • has_secure_passwordもdeviseもBCryptをつかってdigest化しているので、アルゴリズムはそのままで、BCrypt::Engine.costの値を揃えればどちらでも利用できる
  • DBとモデルの移行について書いた
  • deviseはコントローラ、ビューでもいろいろやってくれるので、そちらの対応は別途必要
  • サンプルコード: https://github.com/igaiga/rails611_ruby300_secure_password_to_devise

バージョン

  • Ruby 3.0.0
  • Rails 6.1.1
  • devise 4.7.3
  • bcrypt 3.1.16

has_secure_passwordのdigest化コード

  • ActiveModel::SecurePassword
    • gems/activemodel-6.1.1/lib/active_model/secure_password.rb
digest化
  • BCrypt::Password.create(unencrypted_password, cost: 12) でdigest化している

  • secure_password.rb

cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
self.public_send("#{attribute}_digest=", BCrypt::Password.create(unencrypted_password, cost: cost))
  • 実行して確認したところ、デフォルトでは以下の値だった
    • BCrypt::Engine::MIN_COST= 4
    • BCrypt::Engine.cost= 12
    • cost= 12
authenticate
  • BCrypt::Password.new(attribute_digest).is_password?(unencrypted_password) で確認している

  • secure_password.rb

define_method("authenticate_#{attribute}") do |unencrypted_password|
  attribute_digest = public_send("#{attribute}_digest")
  BCrypt::Password.new(attribute_digest).is_password?(unencrypted_password) && self
end

alias_method :authenticate, :authenticate_password if attribute == :password

deviseの動作について

コード
  • lib/devise/models/database_authenticatable.rb
# authenticate
def valid_password?(password)
  Devise::Encryptor.compare(self.class, encrypted_password, password)
end
...
# digest
def password_digest(password)
  Devise::Encryptor.digest(self.class, password)
end
  • lib/devise/encryptor.rb
module Devise
  module Encryptor
    def self.digest(klass, password)
      if klass.pepper.present?
        password = "#{password}#{klass.pepper}"
      end
      ::BCrypt::Password.create(password, cost: klass.stretches).to_s
    end

    def self.compare(klass, hashed_password, password)
      return false if hashed_password.blank?
      bcrypt   = ::BCrypt::Password.new(hashed_password)
      if klass.pepper.present?
        password = "#{password}#{klass.pepper}"
      end
      password = ::BCrypt::Engine.hash_secret(password, bcrypt.salt)
      Devise.secure_compare(password, hashed_password)
    end
  end
end
authenticate
  • BCrypt::Engine.hash_secret(password, bcrypt.salt)BCrypt::Password.new(hashed_password) とで比較
  • secure_compareは以下のようなコードで、技はあるようだが一致確認をやっているだけと考えてよさそう
def self.secure_compare(a, b)
  return false if a.blank? || b.blank? || a.bytesize != b.bytesize
  l = a.unpack "C#{a.bytesize}"

  res = 0
  b.each_byte { |byte| res |= byte ^ l.shift }
  res == 0
end
digest化
  • BCrypt::Password.create(password, cost: klass.stretches).to_s
    • has_secure_passwordでは BCrypt::Password.create(unencrypted_password, cost: 12) で暗号化している
      • costはデフォルト値
    • deviseとhas_secure_password でどちらもBCrypt::Password.createをつかっているので、cost値を同じに調整すればいい
      • deviseではstretches設定がcost値になる
      • stretchesはモデルに書くdeviseメソッドの引数で指定できる
      • 例: devise :database_authenticatable, :registerable, :confirmable, :recoverable, stretches: 12

has_secure_passwordからdeviseへ移行

  • 動作確認のために、has_secure_password時代にユーザーデータを作成しておく

  • devise gemをGemfileへ追加

  • $ bin/rails generate devise:install

    • ちなみに config/initializers/devise.rbにもstrech設定があり、デフォルトは12になっている
    • config.stretches = Rails.env.test? ? 1 : 12
  • usersテーブルのカラム名を password_digest から encrypted_password へ変更

class ChangeUserPasswordColumnName < ActiveRecord::Migration[6.1]
  def change
    rename_column :users, :password_digest, :encrypted_password
  end
end
  • Userモデルからhas_secure_passwordを消してdeviseの設定を追加
    • stretchesは上述のconfig/initializers/devise.rbにデフォルトで書けるならその方がスッキリしてよさそう
class User < ApplicationRecord
  devise :database_authenticatable, :registerable, stretches: 12
end
  • user.valid_password?(password) でencrypted_password(=digest)が一致するか確認する
user.valid_password?("correct_password") #=> true
user.valid_password?("incorrect_password") #=> false

«前の日記(2021-01-03) 最新 次の日記(2021-02-19)» 編集