Vas*_*rth 8 ruby authentication ruby-on-rails devise
正如标题中所述,何时应该使用设计,何时应该实现我自己的身份验证.本质上,我想知道在一些教程(例如这个)中创建的身份验证是否安全且安全.
如果我不需要电子邮件确认,可恢复性等(很多与Devise相关的"爵士乐"),那么帐户信息是否就像我创建自己的一样安全?
如果你仍然可能会对我正在寻找的答案感到困惑 - 那么只要有可能/只要有账户,你应该设计一些东西吗?或者它应该真的是一个决定?
注意:我没有特别提到Devise,任何认证宝石都可能被替换.
实现我自己的身份验证
任何时候你开始考虑是否应该创建自己的身份验证,你需要停止.拿出这个想法,撕碎它,用汽油熄灭,烧掉它!
身份验证很难.身份验证中存在微妙之处,用于CRUD样式编程的开发人员将会错过它们.这并不意味着是一种侮辱.我是那些程序员之一,我在安全方面工作.认识到自己的优点和缺点.
设计(和最流行的身份验证框架)已经有数千小时的代码审查,设计,测试和生产时间,而不是你自己要推出的框架.
我写了一篇关于"智能"安全功能的博客文章,这实际上让公司的安全性变得更糟.这是微妙的身份验证和安全性的一个很好的例子!
我曾经使用像Devise这样的宝石,直到Rails将has_secure_password添加到ActiveRecord.现在我总是自己动手,因为最后我总是需要一些自定义的东西,这使得它很难在现有的库中实现.
Ryan Bates在这里有关于这个主题的精彩视频.
| 归档时间: |
|
| 查看次数: |
3585 次 |
| 最近记录: |