使用设计cookie加密(不是散列)并将用户密码存储在rails服务器上

【问题标题】:Encrypting (not hashing) and storing user passwords on a rails server, using devise cookies使用设计cookie加密(不是散列)并将用户密码存储在rails服务器上
【发布时间】:2013-05-24 04:03:26
【问题描述】:

遇到了一个问题,我需要通过基本身份验证与一台服务器保持安全连接,该服务器将请求代理到另一台服务器。但是,我不能被允许访问想要访问其他服务器的用户的密码。任何人都可以建议一种方法来安全地存储密码(已经给过一次)在会话变量中,由只有客户端持有直到需要它的点的密钥加密?

一段时间后,它可能会过期,即您可以提供用户名和密码,半小时将是保留凭据的可接受时间,以防用户想再次访问该站点。

在制作了纯华夫饼后,我已经重写了几次,如果编辑没有太大的不同,我深表歉意。

【问题讨论】:

    标签: ruby-on-rails devise cross-domain security basic-authentication


    【解决方案1】:

    如果您的服务器要以明文形式处理密码(使用基本身份验证与其他服务器通信),您将获得对密码的访问权限。也许您想避免以明文形式存储密码?

    将密码以纯文本形式发送到服务器,然后服务器对其进行加密、存储加密版本并使用密钥将 cookie 添加到客户端。然后任何未来的请求都会提供服务器的密钥。

    如果您正在寻找加密库,Recommended two-way encryption gems for Ruby?

    【讨论】:

    • 是的,服务器不可避免地会在某一时刻获得对明文密码的访问权限,我只是想寻找最佳解决方案,以避免在网站丢失时让服务器轻松访问密码如果是这样的话,它的可信度。不过,感谢您澄清解决方案!
    猜你喜欢
    • 2011-01-22
    • 1970-01-01
    • 1970-01-01
    • 2010-12-06
    • 1970-01-01
    • 1970-01-01
    • 2012-03-11
    • 2020-12-16
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode