我目前正試圖掌握在Sinatra,我注意到有沒有最新的身份驗證像設計的軌道。我決定創建自己的身份驗證系統,我的問題是,爲確保用戶安全,我需要採取哪些最重要的預防措施?我需要以散列形式存儲密碼,可能用鹽,但還有什麼?請記住,我不是安全專家,不會問這個問題,否則。什麼是必要的身份驗證是安全
回答
嘗試與bcrypt寶石加密密碼
與會話劫持
例如
post "/signup" do
password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret(params[:password], password_salt)
#ideally this would be saved into a database, hash used just for sample
userTable[params[:username]] = {
:salt => password_salt,
:passwordhash => password_hash
}
session[:username] = params[:username]
redirect "/"
end
請問您能詳細討論會話劫持嗎? – Leo
竊取用戶的會話ID可讓攻擊者以受害者的名義使用該Web應用程序。 http://guides.rubyonrails.org/security.html#session-hijacking –
[so]這個問題太廣泛了。 https://meta.stackoverflow.com/questions/256328/vote-to-close-unclear-questions-immediately-after-commenting and https://meta.stackoverflow.com/questions/260263/how-long-should-我們等待海報來澄清問題之前關閉可能會幫助你回答。 –
- 1. 表單身份驗證是完全必要的嗎?
- 2. 我的身份驗證方法是否安全/需要改進?
- 3. 安全LDAP身份驗證
- 4. 安全API身份驗證
- 5. 捎帶身份驗證關閉另一個站點(基本身份驗證)的安全問題是什麼?
- 6. 摘要式身份驗證的「entity-body」是什麼?
- 7. 身份驗證中間件的重要順序是什麼?
- 8. 安全的PHP身份驗證系統
- 9. PHP:安全的用戶身份驗證?
- 10. 使用SSL的基本身份驗證是否足夠安全?
- 11. 身份驗證在春季安全失敗,爲什麼?
- 12. SQL Server Windows身份驗證安全
- 13. 身份驗證令牌安全
- 14. linux wget安全身份驗證
- 15. MVC多用戶身份驗證/安全
- 16. 多用戶IPython身份驗證/安全
- 17. Facebook連接 - 身份驗證和安全
- 18. 安全HTTP基本身份驗證
- 19. 長身份驗證會話和安全
- 20. 表單身份驗證安全風險
- 21. 身份驗證和授權 - 新安全
- 22. ASMX安全性無身份驗證
- 23. SproutCore安全和身份驗證問題
- 24. 安全身份驗證cookie Asp.Net
- 25. 身份驗證和安全回送API
- 26. PostgreSQL對等身份驗證是否安全生產?
- 27. Facebook客戶端流身份驗證是否安全?
- 28. 要麼是必需的驗證
- 29. 我的網站的身份驗證和安全 - 需要諮詢
- 30. 使用OmniAuth Facebook身份驗證路由的安全身份驗證
這有點寬,因而不適合SO謹慎。閱讀http://security.stackexchange.com/questions/tagged/authentication上的所有內容? xd – ndn
請閱讀「[問]」和鏈接頁面,以及「[mcve]」。編寫自己的身份驗證系統不是跳到中途的問題。我建議您將其作爲現有項目的一部分,以改進它並瞭解所需內容,然後考慮您是否真的想要繼續。 SO不是問這個問題的地方,但其他的[se]網站會很好。 –