Лучшая аутентификация Rails без SSL с использованием Devise - PullRequest
Новая
       25

Лучшая аутентификация Rails без SSL с использованием Devise

2 голосов
/ 31 января 2011

Мне нужна очень простая схема аутентификации, и я не хочу использовать SSL для процесса входа в систему.Тем не менее, отправка паролей в виде обычного текста кажется неубедительной, поэтому я бы хотел пойти навстречу.Есть ли какая-либо сборка в разработке (или расширении), которая предотвращает отправку простого текстового пароля и использует вместо этого какие-то хэши?

Кстати: пожалуйста, не начинайте войну пламени из-за SSL или (отсутствие) безопасность в этом решении.Я в курсе любых последствий, уровня безопасности решения и тд.Сейчас мне просто нужно решить мою проблему с наименьшими усилиями (я не хочу кодировать эту часть самостоятельно).

Ответы [ 2 ]

1 голос
/ 02 февраля 2011

Одна из возможностей, хотя и оставляющая вам кодирование больше, чем вы, вероятно, хотите, - это отправка простого одноразового пароля на мобильный телефон, электронную почту или учетную запись пользователя.Затем пользователь может ответить на это или нажать на одноразовую ссылку, чтобы получить доступ.

Это более или менее исключает первый фактор традиционной двухфакторной аутентификации.

0 голосов
/ 15 февраля 2012

Я не уверен, почему вы не заинтересованы в SSL, я уверен, что у вас есть свои причины, но, поскольку я вижу, что вы используете Heroku, вы всегда можете включить плагин Piggyback SSL без дополнительной оплаты за SSL.

Кроме этого, вы можете рассмотреть какое-нибудь решение для хеширования на стороне клиента или шифрования / дешифрования. Я не знаю ничего предсуществующего для рельсов, но на ум приходит плагин WordPress, такой как http://wordpress.org/extend/plugins/semisecure-login-for-25/ или http://wordpress.org/extend/plugins/semisecure-login-reimagined/, чтобы сделать что-то вроде Диффи-Хеллмана с шифрованием симметричного ключа для защиты аутентификации сессия.

Кроме того, есть несколько плагинов двухфакторной аутентификации для rails, если вы используете Google "rails двухфакторная аутентификация". Я сам не пробовал, но мне было бы интересно попробовать платный Authfactor (http://www.binpress.com/app/authfactor/173) плагин rails когда-нибудь.

Надеюсь, это поможет.

...