0
我們正在構建一個由MySQL支持的rails應用程序,該應用程序將存儲敏感信息,如用戶名,密碼,api_key,這些信息是特定於每個登錄用戶的。如何保護用戶名,密碼,api_keys
是否有寶石可以保護這些生產數據免受內部團隊成員或外部人員的竊取。
我們不希望在日誌中打印敏感信息 如果數據被盜,我們應該能夠防止對敏感數據進行逆向工程。
我們應該如何設計系統來避免上述情況。
A
回答
0
您可以防止某些參數被顯示在Rails的日誌中有:
config.filter_parameters << :parameter_name
有關更多信息,請http://guides.rubyonrails.org/configuring.html#rails-general-configuration
注意數據仍可能會在你的數據庫日誌,或其他日誌你的系統可能正在收集。
無論如何,您應該對密碼等事物進行加密,但您的團隊對該意願的訪問次數大概會受到他們對源代碼/日誌/數據庫訪問次數的影響。
至於外部訪問,一個良好的開端將是Rails的安全文檔在http://guides.rubyonrails.org/security.html
+0
我瞭解未在Rails日誌中顯示它們的部分。我如何以安全的方式存儲用戶特定的api_keys(例如twitter,fb或flickr,youtube)。 – Rpj
相關問題
- 1. 使用用戶名密碼保護URL
- 2. 如何使用用戶名和密碼保護WCF Rest服務?
- 3. 如何保護AWS RDS主用戶名和密碼?
- 4. 密碼保護域名
- 5. 如何保持用戶名密碼
- 6. firefox如何保存用戶名/密碼
- 7. 如何保存用戶名和密碼?
- 8. 使用登錄名保護密碼
- 9. 密碼保護
- 10. 保護REST API的用戶/密碼
- 11. PHP的用戶的密碼保護
- 12. 保護用戶的密碼 - Rfc2898DeriveBytes VS SHA512
- 13. 密碼保護用戶圖片專輯
- 14. Android應用程序中的保護用戶名和密碼
- 15. 用用戶名/密碼保護nedb數據庫。
- 16. 使用密碼保護網站(無用戶名)
- 17. 使用用戶名和密碼保護一個aspx頁面
- 18. 使用用戶名和密碼保護S3網站
- 19. 調用受用戶名和密碼保護的JavaScript文件
- 20. 用用戶名和密碼保護普羅米修斯
- 21. 使用NT用戶名/密碼對話框保護ASP.NET網站
- 22. 如何用密碼保護按鈕?
- 23. 如何密碼保護應用程序
- 24. 如何將受密碼保護的PDF保存爲非密碼保護的PDF
- 25. 如何用bcrypt和mongoid保護用戶密碼
- 26. .htaccess而不是用戶名密碼保護
- 27. 簡單的用戶名和密碼保護散景服務器
- 28. 如何使用iTextSharp來密碼保護數字簽名的pdf?
- 29. 如何在PHP中保護硬編碼的登錄名/密碼?
- 30. PHP密碼保護
至於密碼而言,其存儲加密。但是具有足夠數據庫特權的任何人都可以看到像用戶名這樣的數據。 – Arjan
不要存儲密碼[所有](http://stackoverflow.com/a/13326205/533120)(甚至加密)。只需存儲密碼哈希。和[鹽](http://en.wikipedia.org/wiki/Salt_(密碼學))他們的好辦法。另請參閱[this](http://stackoverflow.com/a/12538258/533120)。 –
我認爲這個問題被誤解了,OP意味着將外部登錄名和密碼存儲在他的數據庫中。 –