デバイスgemで実行されているWebアプリで認証を行っています。安全かと思っていました。はい、パスワードをハッシュとしてデータベースに保存し、ログイン後に暗号化されたトークンを使用します。しかし、最初のログインフェーズではどうでしょうか。暗号化されていないユーザーのパスワードを無線で送信しますか(SSLはありません)?サーバーだけが復号化できる特定の公開鍵でクライアントに暗号化させることはできますか?または、SSLはユーザーのパスワードを暗号化する唯一の方法ですか?
ありがとう!
4352 次
2 に答える
1
安全です。railsはauthenticity_tokenを使用することを忘れないでください。私はまだ問題について聞いたことがありません。
于 2012-05-03T10:34:19.293 に答える
0
「HTTP基本認証はユーザー名とパスワードをクリアテキストで送信するため、より高いレベルのセキュリティが必要なアプリケーションにはこの方法を使用しないでください。」
http://pivotallabs.com/users/ledwards/blog/articles/1534-http-basic-authentication-and-devise
于 2012-05-27T00:41:12.510 に答える