Ruby on rails Rails:Desive gem安全吗?
我在运行于Desivegem的web应用程序上进行身份验证。我想知道它是否安全。是的,它将密码作为散列存储在数据库中,在登录后使用加密令牌等。但是在初始登录阶段如何?它是否通过无线方式发送未加密的用户密码(我没有SSL)?它是否可以让客户端使用只有服务器才能解密的特定公钥对其进行加密?或者SSL是加密用户密码的唯一方法Ruby on rails Rails:Desive gem安全吗?,ruby-on-rails,encryption,ssl,devise,passwords,Ruby On Rails,Encryption,Ssl,Devise,Passwords,我在运行于Desivegem的web应用程序上进行身份验证。我想知道它是否安全。是的,它将密码作为散列存储在数据库中,在登录后使用加密令牌等。但是在初始登录阶段如何?它是否通过无线方式发送未加密的用户密码(我没有SSL)?它是否可以让客户端使用只有服务器才能解密的特定公钥对其进行加密?或者SSL是加密用户密码的唯一方法 谢谢 它是安全的,记住rails使用的是真实性令牌。我还没有听说过任何问题。“请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用
谢谢 它是安全的,记住rails使用的是真实性令牌。我还没有听说过任何问题。“请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用此方法。”
ah-此身份验证令牌是否用于加密用户的密码,例如,在客户端本身?请检查此项。很好的解释。谢谢你,维祖。据我所知,身份验证令牌用于保护用户免受CSRF的影响-身份验证令牌存储在表单字段中,但是,它仍然没有说明发送到服务器的表单是纯文本还是由令牌本身加密的。这也很有趣。我认为那是不对的。“请注意,HTTP基本身份验证以明文形式传输用户名和密码,因此您不应在需要更高安全级别的应用程序中使用此方法。”-当使用浏览器作为客户端时,TLS是防止MitM/主动攻击者的唯一方法。有几种技术可以防止被动攻击者,但我强烈推荐TLS。