为什么设计不对reset_password_token和Confirmation_token进行哈希处理?
[英]Why does devise not hash reset_password_token and confirmation_token?
问题描述
我发现Rails的设计认证框架不会在数据库中对reset_password_token和confirmation_token进行哈希处理? 有人知道为什么吗?
显然,将这样的值以纯文本格式存储在数据库中是一种不好的方法,因为有权访问数据库的每个人都可以重用令牌并将令牌直接发送给API(例如,无需访问就可以轻松触发密码重置)到电子邮件)。 此外,这只是将哈希存储在数据库中的最小工作。 这就是为什么我想知道这种普通令牌方法背后的想法是什么?
更新:没有人对此有任何看法吗? 从我的角度来看,这是一个安全问题,但看来我是唯一关心该问题的人:D
1 个解决方案
解决方案1
0 2013-05-08 10:03:52
在数据库中将它们散列将毫无意义。 确认/重置电子邮件仍然必须向用户发送令牌,应用程序可以使用该令牌根据您存储的哈希密钥来识别他们(邀请/密码重置令牌)。 如果将其存储为纯文本或双向加密,那么您将遇到完全相同的问题,因为黑客可能只使用纯文本令牌,而您的应用程序会很高兴地对其进行哈希处理并对其进行身份验证。 如果将其存储为1向加密,则您的应用将无法提取应发送给用户的实际令牌。
有人必须知道密码/令牌的真实,完整版本。 在密码中,实际密码存储在用户的头部。 在这种情况下,则需要将实际令牌存储在数据库中。
设计密码恢复:未定义的方法“ reset_password_token”
[英]Devise password recovery: undefined method “reset_password_token”
ActiveAdmin & Devise — 更新用户时 reset_password_token 不是唯一的?
[英]ActiveAdmin & Devise — reset_password_token is not unique when updating Users?
在自定义电子邮件中发送完整的Devise reset_password_token
[英]Sending unhashed Devise reset_password_token in custom email
创建新的Devise用户时,如何保存reset_password_token?
[英]How can I save a reset_password_token at the time I create a new Devise user?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
设计确认_token无效
使在Devise中不需要reset_password_token
在 Rails 中为 devise 自定义 reset_password_token
设计通过reset_password_token获取用户
设计:更改密码reset_password_token为空
设计密码恢复:未定义的方法“ reset_password_token”
ActiveAdmin & Devise — 更新用户时 reset_password_token 不是唯一的?
设计如何更改reset_password_token错误
在自定义电子邮件中发送完整的Devise reset_password_token
创建新的Devise用户时,如何保存reset_password_token?
相关标签