我在我的Web应用程序上使用了 gem 进行身份验证。我想知道它是否安全。是的,它会将密码以哈希方式存储到数据库中,在登录后使用加密令牌等等。但是在初始登录阶段呢?它是否将用户的密码明文传输(我没有SSL)?它能否让客户端使用某个只有服务器才能解密的公钥来加密它?还是SSL是加密用户密码的唯一方法?谢谢!
这是安全的,记住Rails使用authenticity_token。我还没有听说过问题。
请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用此方法。
http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise