Как отключить шифрование пароля в devise?

Question

Как отключить шифрование пароля в devise?

Answer 1

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Хотя хранить пароли в незашифрованном виде, как правило, нецелесообразно, могут существовать случаи, когда разработчик захочет это сделать.Надеемся, что разработчик достаточно добросовестен, чтобы убедиться, что при принятии этого, как правило, плохого решения по безопасности для своего приложения, он не ставит под угрозу личную или идентификационную информацию своих пользователей.Вы можете представить себе случай, когда единственной зарегистрированной информацией приложения является взаимодействие пользователя с системой, как в некотором исследовании взаимодействия с пользователем.

tl; dr Можно отключить шифрование в устройстве с помощью , создав собственный шифратор и только после этого верните пароль напрямую.

Answer 2

Я согласен с Шингарой. Никогда не следует хранить пароли людей способом, который можно восстановить. Устройство хранит хэшированные пароли (не зашифрованные), они оба нечитаемые форматы, но разница в том, что вы не можете отменить хеширование.

Если вам интересно, почему, , если ваш сайт или база данных скомпрометированы, хакеры не смогут украсть пароли ваших пользователей (пользователи имеют плохую привычку использовать те же самые пароль практически на каждом сайте). Вы не хотите выглядеть глупо, не хешируя пароли, и у вас нет оправданий, поскольку он предоставляется бесплатно для вас с устройством.

Единственное, что вам нужно сделать с паролем, - это авторизовать пользователя, что все еще можно сделать с помощью хешированного пароля. Вам никогда не нужно сообщать пользователям их пароль, если они забывают его, вместо этого измените их пароль на что-то новое (devise также поддерживает это).