1
我需要提高建立在grails上的網站的安全性。Grails密碼更改:只允許「新」密碼
要求是當用戶更改其密碼時,它不應該從任何以前的N個密碼中進行選擇。
有沒有人知道這個模塊?我應該推出自己的?
任何想法/技巧將不勝感激。
在此先感謝
A
回答
1
這不難推出自己的。
在保存之前利用GORM事件,檢查比較密碼並取消或者按照比較結果進行取消或繼續。
1
這取決於您的要求。有幾個安全插件可用,列表請參閱http://www.grails.org/Security 上的「提供登錄和頁面級安全性」標題如果您想要自己創建一個包含舊密碼的域類,請將其與特定用戶相關聯,如果新密碼位於存儲在您的域中的舊密碼列表中,不允許用戶起訴它。
1
要求是,當用戶更改密碼時,它不應該從任何以前的N個密碼中進行選擇。
請推回這個要求。這是無用的,並沒有提高安全性。每次你讓用戶改變密碼,你都會增加可能性,他們會簡單地把它寫下來並粘貼到他們的顯示器上。防止他們重複使用舊密碼使其變得更糟。
這是一個安全「最佳實踐」,如出血和過去曾是醫療最佳實踐;每個人都是出於無知而做的。
相關問題
- 1. 允許密碼
- 2. 允許用戶更改SVN密碼
- 3. ;允許用戶更改密碼?
- 4. 設計,允許用戶更改密碼
- 5. 允許用戶只更改自己的密碼/詳細信息
- 6. 只允許apt-get更新和無需密碼提示升級
- 7. MVC驗證更改密碼。當前密碼與新密碼
- 8. Nginx的允許密碼TLS_RSA_WITH_3DES_EDE_CBC_SHA
- 9. 允許在密碼空間
- 10. 允許SqlMembershipProvider密碼空間
- 11. 如何設計允許我更新密碼而不通過當前密碼?
- 12. 更改密碼
- 13. 更改密碼
- 14. 更改密碼
- 15. 在grails acl中更改/編輯密碼
- 16. 密鑰庫更改密碼
- 17. 更改GitHub密碼後更新Git密碼
- 18. 更改密碼與重置密碼
- 19. 更改密碼時驗證舊密碼
- 20. CakePHP密碼重置不更改密碼
- 21. Devise在密碼重置期間允許空白密碼
- 22. ASP.NET身份 - 允許在社交賬戶上更改密碼?
- 23. 允許TFS 210用戶更改其密碼
- 24. 如何允許用戶在BrowserCMS中更改密碼?
- 25. 允許XMPP用戶根據韻律更改密碼
- 26. 允許EPiServer用戶更改或重置密碼
- 27. 更改密碼Django
- 28. Django密碼更改
- 29. 更改密碼PFuser
- 30. 更改舊密碼