Ruby on rails 是否使用加密令牌?
对于基于令牌的API身份验证:建议的做法是:Ruby on rails 是否使用加密令牌?,ruby-on-rails,authentication,encryption,token,Ruby On Rails,Authentication,Encryption,Token,对于基于令牌的API身份验证:建议的做法是: 在数据库中保存令牌是加密的还是未加密的 对于身份验证:根据令牌(仅当令牌未加密存储在数据库中时才可能)或用户的电子邮件地址查找用户 我找到了几个似乎存储未加密令牌的源,然后在身份验证中根据API请求接收的令牌查找用户。这对我来说似乎有点不安全,因为后端会根据请求中包含的令牌搜索整个User表,而不管哪个用户拥有该令牌(因此有人可以尝试许多令牌)。同时,我不知道是否有必要加密令牌。我会将其视为密码-加密它 然后,当用户连接时,查找指定的用户,加密提
- 在数据库中保存令牌是加密的还是未加密的
- 对于身份验证:根据令牌(仅当令牌未加密存储在数据库中时才可能)或用户的电子邮件地址查找用户
我找到了几个似乎存储未加密令牌的源,然后在身份验证中根据API请求接收的令牌查找用户。这对我来说似乎有点不安全,因为后端会根据请求中包含的令牌搜索整个
User
表,而不管哪个用户拥有该令牌(因此有人可以尝试许多令牌)。同时,我不知道是否有必要加密令牌。我会将其视为密码-加密它
然后,当用户连接时,查找指定的用户,加密提供的令牌并比较该用户的结果
主要原因是,当你被黑客攻击时,你不必在恢复时立即重置每个人的受损令牌,你应该有多一点时间。。因为黑客无法访问他们的代币。。如果你的代币是咸的,也许永远不会
我并不主张不要重置令牌!只是,这是一个不那么紧迫的问题在炎热的时刻