rails,滚动我自己的身份验证系统,我应该考虑哪些安全问题?

时间:2010-10-31 17:58:34

标签: ruby-on-rails authentication

以下是我的身份验证系统必须解决的安全问题列表(我知道已有插件,我想创建自己的 - 我就是这样!(特别是因为我想学习)该怎么做))。

  1. 使用rails for form forgery protection
  2. 将guid存储为cookie中的auth_token,而不是用户ID。让此令牌每x次到期,并重新生成一个新令牌。
  3. 存储failed_login次尝试并锁定帐户
  4. 将加密密码存储在数据库中,每个用户都有自己的盐

    5. 还有什么想到的吗?我现在正在查看authlogic以了解他们可能正在做什么。

1 个答案:

答案 0 :(得分:2)

根本不这样做。

你正在重新发明这个轮子,并没有严重的理由说明你应该浪费宝贵的时间。

查看Ruby Toolbox了解一些想法。我个人喜欢Devise,所以一定要检查出来。使用Devise,您可以覆盖所有基础。

相关问题
最新问题