github.hubspot.com/pace/docs/welcome

Ваш вариант с солью ничем не отличается от простой авторизации с паролем.
Если у пользователя пароль из 10 символов и соль из двух, то взлом ничем концептуально не будет отличаться от взлома пароля из 12 символов. Будет просто добавлен еще множитель 11 для нахождения позиции разбивки строки из 12 символов на "пароль + соль"

while (true)
       print('spam')

?

Смотря где пишется конструкция. Во view можно и обычным тегом, а вот в хелпере удобнее content_tag и tag