验证/授权仅由创建者使用的博客的最佳方式

Question

我正在制作一个简单的博客，我将是其中唯一的发布者，并且想制作一个简单但安全的身份验证/授权系统来发布博客条目。 在这种情况下，身份验证和授权将是相同的，我不确定是否需要有单独的身份验证模型。

在我看来，最简单的方法是将我的密码包含在我的“new_post”页面的 url 中，方法是在 routes.rb

中路由以下方式

match '/my_password_here, to: 'Post#new' 

这在某种程度上是个坏主意吗？如果是这样，请告诉我原因。

我还是编程新手，并且正在学习安全相关问题的技巧。虽然我不打算成为任何人的攻击目标，但我认为博客被黑对企业不利。

提前感谢您的意见！

编辑：澄清一下，我目前只有一个模型Post.rb，以及两个控制器posts_controller.rb 和static_pages_controller.rb。

Answer 1

我认为这是一个（非常）糟糕的主意，因为每个人都可以通过查看 URL 来查看您的密码。此外，它将在浏览器的历史中。我建议像这样使用HTTP basic authentication：

class PostsController < ApplicationController
  http_basic_authenticate_with :name => "my_username", :password => "my_password", :except => [:index, :show]
end