我目前正试图掌握在Sinatra,我注意到有没有最新的身份验证像设计的轨道。我决定创建自己的身份验证系统,我的问题是,为确保用户安全,我需要采取哪些最重要的预防措施?我需要以散列形式存储密码,可能用盐,但还有什么?请记住,我不是安全专家,不会问这个问题,否则。什么是必要的身份验证是安全
回答
尝试与bcrypt宝石加密密码
与会话劫持
例如
post "/signup" do
password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret(params[:password], password_salt)
#ideally this would be saved into a database, hash used just for sample
userTable[params[:username]] = {
:salt => password_salt,
:passwordhash => password_hash
}
session[:username] = params[:username]
redirect "/"
end
请问您能详细讨论会话劫持吗? – Leo
窃取用户的会话ID可让攻击者以受害者的名义使用该Web应用程序。 http://guides.rubyonrails.org/security.html#session-hijacking –
[so]这个问题太广泛了。 https://meta.stackoverflow.com/questions/256328/vote-to-close-unclear-questions-immediately-after-commenting and https://meta.stackoverflow.com/questions/260263/how-long-should-我们等待海报来澄清问题之前关闭可能会帮助你回答。 –
- 1. 表单身份验证是完全必要的吗?
- 2. 我的身份验证方法是否安全/需要改进?
- 3. 安全LDAP身份验证
- 4. 安全API身份验证
- 5. 捎带身份验证关闭另一个站点(基本身份验证)的安全问题是什么?
- 6. 摘要式身份验证的“entity-body”是什么?
- 7. 身份验证中间件的重要顺序是什么?
- 8. 安全的PHP身份验证系统
- 9. PHP:安全的用户身份验证?
- 10. 使用SSL的基本身份验证是否足够安全?
- 11. 身份验证在春季安全失败,为什么?
- 12. SQL Server Windows身份验证安全
- 13. 身份验证令牌安全
- 14. linux wget安全身份验证
- 15. MVC多用户身份验证/安全
- 16. 多用户IPython身份验证/安全
- 17. Facebook连接 - 身份验证和安全
- 18. 安全HTTP基本身份验证
- 19. 长身份验证会话和安全
- 20. 表单身份验证安全风险
- 21. 身份验证和授权 - 新安全
- 22. ASMX安全性无身份验证
- 23. SproutCore安全和身份验证问题
- 24. 安全身份验证cookie Asp.Net
- 25. 身份验证和安全回送API
- 26. PostgreSQL对等身份验证是否安全生产?
- 27. Facebook客户端流身份验证是否安全?
- 28. 要么是必需的验证
- 29. 我的网站的身份验证和安全 - 需要咨询
- 30. 使用OmniAuth Facebook身份验证路由的安全身份验证
这有点宽,因而不适合SO谨慎。阅读http://security.stackexchange.com/questions/tagged/authentication上的所有内容? xd – ndn
请阅读“[问]”和链接页面,以及“[mcve]”。编写自己的身份验证系统不是跳到中途的问题。我建议您将其作为现有项目的一部分,以改进它并了解所需内容,然后考虑您是否真的想要继续。 SO不是问这个问题的地方,但其他的[se]网站会很好。 –