我已经阅读了很多关于Charles Miller这里引用的令牌最佳实践的参考资料 definitive-guide-to-form-based-website-authentication。但我没有看到任何真实的例子。
我的问题是用户名字段应该使用什么? 我认为这不应该是真名,也不应该是电子邮件。 我正在考虑使用gravatar_id或用户ID号(1 .. n)。 gravatar_id看起来有点矫枉过正,而且身份证号码似乎很弱。 有哪些更好的选择?
修改 我想我假设令牌应该看起来像这样
"#{user.name}:#{SecureRandom.urlsafe_base64}" -> "user12:0a5be29627332034d4dd8a"
但是用纯文本的用户12看似错误。 所以我认为我遗漏了一些基本的概念