我現在需要非常基本的身份驗證方案,我不想涉及SSL的登錄過程。然而,僅僅以純文本發送密碼感覺真的很蹩腳,所以我想半途見面。在設計(或擴展)中是否有任何構建方式,它可以防止發送純文本密碼並改爲使用某種散列?更好的Rails身份驗證沒有SSL使用設計
btw:請不要通過SSL啓動任何火焰戰,或者在此解決方案中缺少安全性。我意識到任何後果,解決方案的安全級別等等。我只需要儘可能少的工作就可以解決我的問題(我不想自己編寫這部分代碼)。
一種可能性,儘管它會讓你的編碼超過你可能想要的,但是可以向用戶的手機,電子郵件或IM帳戶發送簡單的一次性密碼。然後,用戶可以回覆該消息或單擊一次性鏈接以獲得訪問權限。
它或多或少地剔除了傳統雙因素身份驗證的第一個因素。
我不確定你爲什麼不對SSL感興趣,我確定你有你的理由,但是因爲我看到你使用Heroku,你總是可以啓用Piggyback SSL插件而無需爲SSL支付額外費用。
除此之外,你可以考慮某種客戶端哈希或加密/解密解決方案。我不知道任何預存的rails,但想到的是一個wordpress插件,如http://wordpress.org/extend/plugins/semisecure-login-for-25/或http://wordpress.org/extend/plugins/semisecure-login-reimagined/做一種diffie-hellman與對稱密鑰加密,以保護身份驗證會話。
除此之外,還有幾個雙因素認證插件的軌道,如果你谷歌「軌道雙因素認證」。我自己並沒有嘗試過,但我有興趣嘗試一下付費的Authfactor(http://www.binpress.com/app/authfactor/173)rails插件。
希望有所幫助。
對於兩個因素認證和設計,也很少有博客文章。所以這可能是值得研究的。 – 2012-02-15 17:52:27
我不想讓任何事情變得複雜。我需要的只是散列通過POST發送的密碼。我正在尋找類似於http://bit.ly/eydv5x的想法這個想法對我很有用,但我不想自己編寫這個代碼,所以我認爲雖然已經有完整的rails解決方案。 :-) – mdrozdziel 2011-02-02 09:13:52