我正在撰写一个简单的博客,其中我将成为唯一的海报,并希望为发布博客条目制作一个简单但安全的身份验证/授权系统。 在这种情况下,身份验证和授权将是相同的,我不确定是否有必要使用单独的身份验证模型。
在我看来,最简单的方法是将我的密码包含在我的“new_post”页面的网址中,方法是在 routes.rb
中输入以下方式match '/my_password_here, to: 'Post#new'
这是不是一个坏主意?如果是这样,请告诉我原因。
我还是编程新手,我正在学习与安全相关的问题。虽然我不打算成为任何人的主动目标,但我认为让一个人的博客被黑客入侵对企业不利。
提前感谢您的意见!
修改:澄清一下,我目前只有一个模型,Post.rb和两个控制器posts_controller.rb和static_pages_controller.rb。
答案 0 :(得分:3)
我认为这是一个(非常)糟糕的主意,因为每个人都可以通过查看网址来查看您的密码。此外,它将在浏览器的历史中。我建议像这样使用HTTP basic authentication:
class PostsController < ApplicationController
http_basic_authenticate_with :name => "my_username", :password => "my_password", :except => [:index, :show]
end