rails，滚动我自己的身份验证系统，我应该考虑哪些安全问题？

Question

以下是我的身份验证系统必须解决的安全问题列表（我知道已有插件，我想创建自己的 - 我就是这样！（特别是因为我想学习）该怎么做））。

1. 使用rails for form forgery protection
2. 将guid存储为cookie中的auth_token，而不是用户ID。让此令牌每x次到期，并重新生成一个新令牌。
3. 存储failed_login次尝试并锁定帐户
4. 将加密密码存储在数据库中，每个用户都有自己的盐

还有什么想到的吗？我现在正在查看authlogic以了解他们可能正在做什么。

Answer 1

根本不这样做。

你正在重新发明这个轮子，并没有严重的理由说明你应该浪费宝贵的时间。

查看Ruby Toolbox了解一些想法。我个人喜欢Devise，所以一定要检查出来。使用Devise，您可以覆盖所有基础。