用戶帳戶設計和安全性
[英]User account design and security
問題描述
在開始之前,我使用Ruby on Rails和Devise gem進行用戶身份驗證。
嗨,我正在做一些關於帳戶安全的研究,我發現了一篇關於該主題的博客帖子,但我再也找不到了。 我讀到了一些關於制作登錄系統的內容,你應該有一個用戶模型,其中包含用戶的用戶名,加密密碼和電子郵件。 您還應該擁有用戶帳戶的模型。 這包含其他一切。 用戶擁有一個帳戶。
我不知道我是否正確解釋這個問題,因為我已經好幾個月沒看過這篇博文了,我丟失了我的書簽。
有人可以解釋我應該或不應該這樣做的原因和原因。 我的申請涉及金錢,所以我需要用安全保護我的基地。
謝謝。
2 個解決方案
解決方案1
3 2010-05-30 13:27:00
使用不同的模型來處理用戶(即處理基本身份驗證的模型),帳戶可以給你一些加號(持有什么用戶可以做的, 怎么樣 ,...的所有信息模型):
- 使用暴露更高安全級別的輔助存儲系統存儲用戶數據
- 限制用戶對其他應用程序工件(模型,控制器等)的數據訪問
- 使代碼審查和安全審計更容易
我傾向於向用戶模型添加個人信息(真實姓名,電話號碼......),同時在帳戶模型中公開有關用戶的操作數據(昵稱,生物......)。
解決方案2
1 2010-05-30 18:22:22
那么,將這些模型分開是一個很好的架構決策,因為它們指的是不同的實體: 用戶模型屬於auth系統,而Account模型屬於用戶配置文件管理系統。 但這一切都取決於。 如果你的模型非常小(比如每個3-5個字段),你可能無法從這種分離中獲得任何好處,但是額外的頭痛。 但是,如果你的模型很大,比如說, 用戶模型將被更頻繁地使用 - 那么你應該考慮為了清晰度和性能原因而努力實現不同的模型。
客戶推薦的模型設計
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.