Rails：如何在不使用has_secure_password的情况下编写自己的身份验证

对于大多数身份验证类型（以及我大部分时间使用的身份验证）而言，这是一个有用的解决方案，但是如果您确实需要在没有has_secure_password的情况下编写身份验证，那么Ryan Bates的Railscasts可以满足您的要求。

class User < ActiveRecord::Base
  attr_accessible :email, :password, :password_confirmation

  attr_accessor :password
  before_save :encrypt_password

  validates_confirmation_of :password
  validates_presence_of :password, :on => :create
  validates_presence_of :email
  validates_uniqueness_of :email

  def self.authenticate(email, password)
    user = find_by_email(email)
    if user && user.password_hash == BCrypt::Engine.hash_secret(password, user.password_salt)
      user
    else
      nil
    end
  end

  def encrypt_password
    if password.present?
      self.password_salt = BCrypt::Engine.generate_salt
      self.password_hash = BCrypt::Engine.hash_secret(password, password_salt)
    end
  end
end

对于rails 4，这是不同的（模型上没有更多的attr_accessors），对此进行修改，我们需要一个attr_reader：password以及一种设置密码和password_confirmation的方式，以便：

class User < ActiveRecord::Base
  attr_reader :password
  before_save :encrypt_password

  validates_confirmation_of :password
  validates_presence_of :password, :on => :create
  validates_presence_of :email
  validates_uniqueness_of :email

  def self.authenticate(email, password)
    user = find_by_email(email)
    if user && user.password_hash == BCrypt::Engine.hash_secret(password, user.password_salt)
      user
    else
      nil
    end
  end

  def encrypt_password
    if password.present?
      self.password_salt = BCrypt::Engine.generate_salt
      self.password_hash = BCrypt::Engine.hash_secret(password, password_salt)
    end
  end

  ##
  # accessor
  def password=(unencrypted_password)
    unless unencrypted_password.blank?
      @password = unencrypted_password
    end
  end

  ##
  # accessor
  def password_confirmation=(unencrypted_password)
    @password_confirmation = unencrypted_password
  end
end

但是，如果我们在这里查看has_secure_password方法，则会发现业务逻辑位于password =（未加密）中，而不是保存前的回调中（这很明显），我认为这可能是执行此操作的最干净的方法。