我需要提高基于Grails的网站的安全性。
要求是当用户更改其密码时,它不能选择任何以前的N个密码。
有人知道这个模块吗?我应该自己动手吗?
任何想法/提示都将不胜感激。
提前致谢
答案 0 :(得分:1)
这取决于您的要求。有几个可用的安全插件,列表请参阅http://www.grails.org/Security处的“提供登录和页面级别安全性”标题 如果您想要自己的角色,只需创建一个包含旧密码的域类,将其与特定用户关联,如果新密码位于您域中存储的旧密码列表中,则不允许用户起诉它。
答案 1 :(得分:1)
要求是当用户更改其密码时,它不能选择任何以前的N个密码。
请推迟这个要求。它是愚蠢的,并没有提高安全性。每当你让用户更改密码时,你就会增加他们简单地将其写下来并将其粘贴到他们的显示器上的几率。防止他们重复使用旧密码会使情况变得更糟。
这是一种安全的“最佳实践”,如出血和浸出过去曾是医学最佳实践;每个人都是出于无知而做的。
答案 2 :(得分:1)
推出自己的推广并不困难。
在保存之前使用GORM事件,检查比较密码,并根据比较结果取消或继续使用。