1

我需要在 Rails 应用程序中使用相同的用户名进行两级身份验证。一键登录,二键查看更敏感的区域,例如账单和信用卡信息。第一级是用 Devise 实现的。对于第二级,我可以再次使用设计一个不同的模型,比如设置吗?Cancan 需要单独的登录。

不确定最好的方法。

任何想法,将不胜感激!

4

1 回答 1

0

这个问题非常规,似乎无法使用现成的解决方案。在我看来,这种情况下不需要双重授权(第二个密码通常用于确认某些操作,而不是用于第二次授权),但有时我们不会选择这样的东西。

肮脏的解决方案是持有另一个加密密码,当您进入第二级时,暂时给用户一个不同的角色。这个角色将在康康检查。该角色会在一段时间内或下次登录时重置(因此攻击者无法同时访问计费)。我认为这很粗糙,但可以快速解决。

这只是我的 50 美分,我怀疑这是一个好的解决方案。

于 2012-04-29T11:04:15.120 回答