【发布时间】:2017-01-01 00:52:06
【问题描述】:
谁能提供注册账号、登录和退出账号但没有spring的代码?
【问题讨论】:
-
我们不是代码编写服务。
标签: grails
【发布时间】:2017-01-01 00:52:06
【问题描述】:
虽然这不是代码编写服务,但我想为您提供最好的票价 - 算法。
- 显然,创建用户域、角色表并加入它们,因为每个用户可以拥有多个角色。
- 注册很简单 - 只需创建一个包含所有必需属性的表单,当然密码是隐藏的。 不要将其保存为纯文本。之前总是加密密码。应该使用 Bcrypt(专门用于 grails)或 RSA、Blowfish 或 Triple DES。
- 登录也很简单。用户提交用户名和密码。您加密密码并在数据库中查找具有此类用户名和密码哈希的用户。如果有,你让他进来。
- 最困难的部分是保护您的页面免受未经授权的用户的侵害。您可以创建自定义注释,在其中检查用户 cookie(保存他的会话哈希)并将它们添加到控制器方法中。 See this post。
- 删除您创建的内容并使用 Spring 安全性。有这么多 Grails 应用程序使用它是有原因的。而且它是相当可定制的。或Shiro plugin。每个都有自己的优点和缺点。
【讨论】:
-
for 2. 使用像
bcrypt,scrypt, ... 这样的 KDF 来存储密码(哈希)。对于 5. 添加 springsecurity/shiro/... 而不知道自己在做什么对应用程序的安全性来说就像在没有线索的情况下编写自己的一样危险。在 grails 中使用插件时,这一切看起来都很好,很容易,但是如果您必须与它们不同或自己设置它,那么掌握所有这些齿轮是如何转动的并不是一件容易的事。 -
@cfrick 并且您认为创建自己的安全性比实施 spring sec 更安全?我不知道那件事。特别是如果你必须要代码
-
我不是这个意思。没有银弹。设置安全性但对此一无所知,这是一个危险的领域——不管工具、框架、插件……一个人使用什么。
-
好吧,我同意。 :)