วิธีที่ดีที่สุดในการสร้างโทเค็นที่ไม่เหมือนใครใน Rails?

นี่คือสิ่งที่ฉันใช้ โทเค็นไม่จำเป็นต้องได้ยินเพื่อคาดเดามันเป็นเหมือนตัวระบุ URL แบบสั้นมากกว่าสิ่งอื่นใดและฉันต้องการให้มันสั้น ฉันได้ติดตามตัวอย่างที่ฉันพบทางออนไลน์และในกรณีที่มีการปะทะกันฉันคิดว่ารหัสด้านล่างจะสร้างโทเค็นใหม่ แต่ฉันไม่แน่ใจจริง ๆ ฉันอยากรู้ว่าจะเห็นคำแนะนำที่ดีกว่านี้ได้อย่างไรเนื่องจากมันรู้สึกหยาบเล็กน้อยรอบ ๆ ขอบ

def self.create_token
    random_number = SecureRandom.hex(3)
    "1X#{random_number}"

    while Tracker.find_by_token("1X#{random_number}") != nil
      random_number = SecureRandom.hex(3)
      "1X#{random_number}"
    end
    "1X#{random_number}"
  end

คอลัมน์ฐานข้อมูลของฉันสำหรับโทเค็นเป็นดัชนีที่ไม่ซ้ำกันและฉันยังใช้validates_uniqueness_of :tokenกับโมเดล แต่เพราะสิ่งเหล่านี้ถูกสร้างขึ้นในแบทช์โดยอัตโนมัติตามการกระทำของผู้ใช้ในแอป (พวกเขาสั่งซื้อและซื้อโทเค็นเป็นหลัก) เป็นไปไม่ได้ที่แอพจะมีข้อผิดพลาดเกิดขึ้น

ฉันก็สามารถเดาได้ว่าเพื่อลดโอกาสในการชนเพิ่มสตริงใหม่ในตอนท้ายสิ่งที่สร้างขึ้นตามเวลาหรืออะไรทำนองนั้น แต่ฉันไม่ต้องการให้โทเค็นยาวเกินไป

- อัปเดต -

ขณะที่9 มกราคม 2015วิธีการที่จะดำเนินการในขณะนี้ทางรถไฟ 5 การดำเนินงานโทเค็น ActiveRecord ปลอดภัย

- Rails 4 & 3 -

สำหรับการอ้างอิงในอนาคตสร้างโทเค็นแบบสุ่มที่ปลอดภัยและสร้างความมั่นใจว่าเป็นเอกลักษณ์สำหรับรุ่น (เมื่อใช้ Ruby 1.9 และ ActiveRecord):

class ModelName < ActiveRecord::Base

  before_create :generate_token

  protected

  def generate_token
    self.token = loop do
      random_token = SecureRandom.urlsafe_base64(nil, false)
      break random_token unless ModelName.exists?(token: random_token)
    end
  end

end

แก้ไข:

@kainแนะนำและฉันตกลงที่จะแทนที่begin...end..whileด้วยloop do...break unless...endในคำตอบนี้เพราะการดำเนินการก่อนหน้านี้อาจถูกลบออกในอนาคต

แก้ไข 2:

ด้วย Rails 4 และข้อกังวลฉันขอแนะนำให้ย้ายสิ่งนี้ไปกังวล

# app/models/model_name.rb
class ModelName < ActiveRecord::Base
  include Tokenable
end

# app/models/concerns/tokenable.rb
module Tokenable
  extend ActiveSupport::Concern

  included do
    before_create :generate_token
  end

  protected

  def generate_token
    self.token = loop do
      random_token = SecureRandom.urlsafe_base64(nil, false)
      break random_token unless self.class.exists?(token: random_token)
    end
  end
end

Ryan Bates ใช้รหัสเล็กน้อยในRailscastของเขาในคำเชิญเบต้าเชิญเบต้า สิ่งนี้สร้างสตริงตัวอักษรผสมตัวเลข 40 ตัว

Digest::SHA1.hexdigest([Time.now, rand].join)

นี่อาจเป็นการตอบกลับล่าช้า แต่เพื่อหลีกเลี่ยงการใช้การวนซ้ำคุณสามารถเรียกใช้เมธอดซ้ำ มันดูและรู้สึกสะอาดขึ้นเล็กน้อยสำหรับฉัน

class ModelName < ActiveRecord::Base

  before_create :generate_token

  protected

  def generate_token
    self.token = SecureRandom.urlsafe_base64
    generate_token if ModelName.exists?(token: self.token)
  end

end

มีบางวิธีที่เรียบเนียนในการทำสิ่งนี้แสดงให้เห็นในบทความนี้:

https://web.archive.org/web/20121026000606/http://blog.logeek.fr/2009/7/2/creating-small-unique-tokens-in-ruby

รายการโปรดของฉันคือ:

rand(36**8).to_s(36)
=> "uur0cj2h"

หากคุณต้องการบางสิ่งที่จะไม่เหมือนใครคุณสามารถใช้สิ่งนี้:

string = (Digest::MD5.hexdigest "#{ActiveSupport::SecureRandom.hex(10)}-#{DateTime.now.to_s}")

อย่างไรก็ตามสิ่งนี้จะสร้างสตริงของ 32 ตัวอักษร

อย่างไรก็ตามมีวิธีอื่น:

require 'base64'

def after_create
update_attributes!(:token => Base64::encode64(id.to_s))
end

ตัวอย่างเช่นสำหรับ id เช่น 10000 โทเค็นที่สร้างขึ้นจะเป็นเช่น "MTAwMDA =" (และคุณสามารถถอดรหัสได้อย่างง่ายดายสำหรับ id เพียงแค่สร้าง

Base64::decode64(string)

สิ่งนี้อาจมีประโยชน์:

SecureRandom.base64(15).tr('+/=', '0aZ')

หากคุณต้องการลบอักขระพิเศษใด ๆ ที่ไม่ใช่อาร์กิวเมนต์แรก '+ / =' และอักขระใด ๆ ที่ใส่อาร์กิวเมนต์ที่สอง '0aZ' และ 15 คือความยาวที่นี่

และถ้าคุณต้องการลบช่องว่างพิเศษและอักขระบรรทัดใหม่กว่าเพิ่มสิ่งที่ชอบ:

SecureRandom.base64(15).tr('+/=', '0aZ').strip.delete("\n")

หวังว่านี่จะช่วยทุกคน

คุณสามารถใช้ has_secure_token https://github.com/robertomiranda/has_secure_token

ใช้งานง่ายมาก

class User
  has_secure_token :token1, :token2
end

user = User.create
user.token1 => "44539a6a59835a4ee9d7b112b48cd76e"
user.token2 => "226dd46af6be78953bde1641622497a8"

ลองด้วยวิธีนี้:

ตั้งแต่ Ruby 1.9 รุ่น uuid นั้นมีมาให้แล้ว ใช้SecureRandom.uuidฟังก์ชั่น
การสร้าง Guids ใน Ruby

สิ่งนี้มีประโยชน์สำหรับฉัน

เพื่อสร้าง mysql, varchar 32 GUID ที่เหมาะสม

SecureRandom.uuid.gsub('-','').upcase

def generate_token
    self.token = Digest::SHA1.hexdigest("--#{ BCrypt::Engine.generate_salt }--")
end

ฉันคิดว่าโทเค็นควรได้รับการจัดการเช่นเดียวกับรหัสผ่าน ดังนั้นควรเข้ารหัสใน DB

ฉันกำลังทำสิ่งนี้เพื่อสร้างโทเค็นใหม่ที่ไม่เหมือนใครสำหรับโมเดล:

key = ActiveSupport::KeyGenerator
                .new(Devise.secret_key)
                .generate_key("put some random or the name of the key")

loop do
  raw = SecureRandom.urlsafe_base64(nil, false)
  enc = OpenSSL::HMAC.hexdigest('SHA256', key, raw)

  break [raw, enc] unless Model.exist?(token: enc)
end