我的一些漂亮的rails应用程序正在运行,而且它的一切都很快乐。我希望确保一个微小的部分感觉错误按照现在的方式 - 我的登录程序,我使用带有远程选项的form_tag来发送文本和密码字段的内容出于显而易见的原因使用POST。
通过HTTP发送密码让我觉得很脏。从我可以看到的地方,我有以下选择:
不知何故,我认为我最好的选择是4 - JavaScript加密。 但是,如果用户键入他/她的密码并使用服务器生成的部分加密,则应该是安全的(关于解决通过HTTP以纯文本发送它的问题)并解决我的问题我猜。但是在轨道方面,要实现这一点,就是在我的数据库中保持(是的,我还有很多东西可以覆盖)。
我需要一些帮助 - 一些指示。
答案 0 :(得分:2)
为什么你不应该使用选项4:错误地实施错误并使用户面临风险的风险远高于使用已存在的东西。
您应该做什么:通过https传输来保护您的用户数据。放
config.force_ssl = true
进入config/environment/production.rb并准备好了。 (好吧,告诉网络服务器适当的证书是......)