1
我需要提高建立在grails上的網站的安全性。Grails密碼更改:只允許「新」密碼
要求是當用戶更改其密碼時,它不應該從任何以前的N個密碼中進行選擇。
有沒有人知道這個模塊?我應該推出自己的?
任何想法/技巧將不勝感激。
在此先感謝
A
回答
1
這不難推出自己的。
在保存之前利用GORM事件,檢查比較密碼並取消或者按照比較結果進行取消或繼續。
1
這取決於您的要求。有幾個安全插件可用,列表請參閱http://www.grails.org/Security 上的「提供登錄和頁面級安全性」標題如果您想要自己創建一個包含舊密碼的域類,請將其與特定用戶相關聯,如果新密碼位於存儲在您的域中的舊密碼列表中,不允許用戶起訴它。
1
要求是,當用戶更改密碼時,它不應該從任何以前的N個密碼中進行選擇。
請推回這個要求。這是無用的,並沒有提高安全性。每次你讓用戶改變密碼,你都會增加可能性,他們會簡單地把它寫下來並粘貼到他們的顯示器上。防止他們重複使用舊密碼使其變得更糟。
這是一個安全「最佳實踐」,如出血和過去曾是醫療最佳實踐;每個人都是出於無知而做的。
相關問題
- 1. 允許用戶更改SVN密碼
- 2. 允許用戶只更改自己的密碼/詳細信息
- 3. 只允許apt-get更新和無需密碼提示升級
- 4. MVC驗證更改密碼。當前密碼與新密碼
- 5. 允許在密碼空間
- 6. 更改密碼
- 7. 密鑰庫更改密碼
- 8. 更改密碼時驗證舊密碼
- 9. 如何允許用戶在BrowserCMS中更改密碼?
- 10. 允許TFS 210用戶更改其密碼
- 11. 允許XMPP用戶根據韻律更改密碼
- 12. 更改舊密碼
- 13. 更改密碼Django
- 14. 將密碼庫密碼從無密碼更改爲非空密碼
- 15. 當我更改新密碼時如何驗證舊密碼
- 16. 在更改爲新密碼之前確認舊密碼codeigniter
- 17. RESTful更新密碼
- 18. 更改密碼獲取請求不更改密碼
- 19. 允許mysql無密碼連接
- 20. 密碼功能不允許訪問
- 21. 爲什麼不允許密碼驗證?
- 22. 允許特殊字符輸入密碼
- 23. JavaScript密碼功能允許空格
- 24. 將密碼格式從加密密碼更改爲散列密碼
- 25. 更改「新密碼」屏幕的主題
- 26. 春季安全允許用戶只重置其密碼
- 27. 只允許WPF中的密碼框中的數字
- 28. 設計:允許用戶重置密碼只有
- 29. 密碼保護,只允許一個IP地址訪問目錄?
- 30. 如何在Grails中獲取普通密碼或解密密碼?