所有这些关于 Authlogic 或 Devise 的讨论,哪个更容易安装和有用等等。(到目前为止我还不能决定我更喜欢哪个。)
我只是盲目地使用 then 并假设它们都具有坚如磐石的安全性。
所以我的问题是,这些插件背后的安全性如何,哪些可以为用户提供最好的保护?或者它们相同?
一个比另一个好吗,是否存在任何安全问题?
最佳答案
如果使用 Rails 3,我建议使用 Devise。
当我从轨道 2 移动到轨道 3 时,我从 Authlogic 切换到设计。将 Devise 与 Authlogic 进行比较并不完全相同,尽管在没有任何定制的情况下使用它们确实提供了相同的关键功能。 Devise 本身带有 Warden,这是另一个用于实现身份验证策略的 gem,其中一个实际上可能是 Authlogic。对我来说,关键的区别实际上是软件的架构方式。 Warden 是基于机架的实现,并使用标准 Web 应用程序模式构建。 Rails 3 也是一个基于机架的解决方案,这意味着架构更加同步。在 Warden 之上,Devise 提供了方便的 session 查询方法和用户模型集成。此外,Devise 与 Omniauth 的集成非常稳固,这使您的应用程序可以轻松使用外部身份验证提供商(facebook、twitter、linkedin 等)。
哪个提供更好的安全性的问题确实没有实际意义。在任何一种情况下,您都需要做出配置选择,这将决定您的应用程序的“安全程度”。除了密码加密和 session 管理之外,还有其他注意事项(例如,何时使用 SSL、使用何种加密算法、密码和密码恢复策略等)。
一定要阅读 wiki 并确保您了解所有配置选项并做出有意识的选择。永远不要在与“安全”相同的句子中使用“假设”。
关于ruby-on-rails-3 - Authlogic 和/或 Devise in Rails 背后的安全性如何?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6494810/