我在我的Web应用程序上使用了 gem 进行身份验证。我想知道它是否安全。是的,它会将密码以哈希方式存储到数据库中,在登录后使用加密令牌等等。但是在初始登录阶段呢?它是否将用户的密码明文传输(我没有SSL)?它能否让客户端使用某个只有服务器才能解密的公钥来加密它?还是SSL是加密用户密码的唯一方法?谢谢!
Rails:devise宝石安全吗?
6
- Karan
1
3当使用浏览器作为客户端时,TLS 是防范中间人攻击/主动攻击的唯一方式。虽然有一些技术可以保护免受被动攻击,但我强烈建议使用 TLS。 - CodesInChaos
2个回答
1
这是安全的,记住Rails使用authenticity_token。我还没有听说过问题。
- Benjamin
5
啊 - 这个认证令牌是用于加密用户密码的吗?例如,在客户端本身? - Karan
看这个。https://dev59.com/nXNA5IYBdhLWcg3wfN6O - Benjamin
2很好的解释。谢谢Vezu。从我的理解来看,authentication_token用于保护用户免受CSRF攻击-认证令牌存储在表单字段中,但它仍然没有说明发送到服务器的表单是明文还是由令牌本身加密。 - Karan
这也很有趣。https://github.com/plataformatec/devise/wiki/How-To:-Use-HTTP-Basic-Authentication - Benjamin
1我认为那不是正确的。"请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用此方法。" - http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise - Karan
0
请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用此方法。
http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise
- Karan
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 6 Rails 3:client_side_validations宝石和devise密码验证
- 6 找不到 rails 宝石
- 27 猴子补丁 Devise (或任何 Rails 宝石)
- 11 如何在Rails应用程序中使用Devise宝石,其中“用户”分为三个模型?
- 70 这个Rails JSON身份验证API(使用Devise)安全吗?
- 3 Rails 4与MailCatcher和Devise宝石
- 3 最佳支付网关和Rails宝石用于安全支付?
- 4 祖先宝石能在Rails 4上使用吗?
- 3 Rails 3 - Devise宝石 - 如何通过CRUD界面管理用户
- 6 Ruby on Rails:使用Devise宝石实现LDAP的SSO实现