gpt4 book ai didi

ruby-on-rails-3 - Rails 身份验证 - *不*使用 Devise 时的潜在陷阱?

转载 作者:行者123 更新时间:2023-12-02 22:17:58 26 4
gpt4 key购买 nike

我正在权衡是推出自己的身份验证系统(出色的 Railscast )还是使用 Devise。

我的问题是,如果不使用 Devise 而是按照 Railscast 的方式去做某些事情,那么潜在的陷阱是什么?我需要考虑的他们的安全问题是否尚未包含在类型转换中?你能想到的任何其他陷阱?

编辑:为什么我考虑不使用 Devise?我回避 Devise 的部分原因是因为我不喜欢它的失败登录保护。 Devise 的做法意味着只要知道其他人的电子邮件地址,任何人都可以锁定其他人的帐户。在我看来,总的来说,我最好自己动手,而不是彻底了解 Devise 来做出这些改变,尤其是如果我在未来的某个时候也需要按照自己的方式做其他事情的时候(这似乎很可能)。

最佳答案

对于基本身份验证(这意味着只有用户名和密码),推出您自己的身份验证不会有任何严重的缺陷。

现在,如果你还想:

  • 用于记住登录用户的 Cookie
  • 通过发送包含重置说明的电子邮件来找回忘记的密码
  • 需要电子邮件确认才能注册
  • 在特定时间段内没有事件的用户 session 超时

现在这些将更难实现。

因此,如果您只想要一个基本的身份验证系统,您可以愉快地使用自己的系统。但如果您担心您的应用程序的 future ,那么也许您应该选择 Devise。这并不难理解,它提供了大量的功能,以后当您真正决定使用 Devise 时,您将不必迁移数据。

编辑:因此,重申我所说的话。如果这是一个宠物项目,您只想拥有一个基本的身份验证系统和授权系统,您将只允许特定用户查看特定页面,那么您可以自由实现自己的并边学边做。

但是,如果这是更严重的问题,那么我看不出您不应该选择 Devise 的任何理由。它让我想起人们创建自己的散列和加密方案时,他们可以(而且应该!)只使用像 bcrypt 这样强大而安全的东西。

关于ruby-on-rails-3 - Rails 身份验证 - *不*使用 Devise 时的潜在陷阱?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14164492/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com