会員制サイトを作成する場合、パスワードをどこかに記録する必要があるが
DBにパスワードを保存するのではなく、パスワード＋ソルト値のハッシュ値を保存する。
これはクラッカーにDBに侵入されたときにパスワードを知られないようにするため。
今作っているサイトではパスワードと秘密の質問の答えのハッシュ値を保存しているが、
ハッシュを生成する処理をミスって少しはまった。
具体的には
１．ユーザがパスワードと秘密の質問の答えを入力
２．ソルト値生成
３．パスワード＋ソルトからパスワードのハッシュ値を計算する
４．ソルト値生成
５．秘密の質問の答え＋ソルトから秘密の質問の答えのハッシュ値を計算する
６．秘密の質問の答え、パスワード、ソルト値をDBに保存
としたが、
・ソルト値は一つしかDBに登録できない
・生成するたびに値が変わる
ので、ログインできなくなってしまった。4番の処理を飛ばせばOK。
2時間ぐらいはまったかな。。今後の対策は以下。
・一つの機能を実行する毎にコミット
・可能な限り小さい単位の変更毎にテストを行う