1

我正在制作一个简单的博客,我将在其中成为唯一的发帖人,并希望制作一个简单但安全的身份验证/授权系统来发布博客条目。在这种情况下,身份验证和授权将是相同的,我不确定是否需要有一个单独的身份验证模型。

在我看来,最简单的方法是将我的密码包含在我的“new_post”页面的 url 中,方法是在routes.rb中路由以下方式

match '/my_password_here, to: 'Post#new'

这在某种程度上是个坏主意吗?如果是这样,请告诉我为什么。

我还是编程新手,并且正在学习安全相关问题的技巧。虽然我不打算成为任何人的攻击目标,但我认为博客被黑对企业不利。

提前感谢您的意见!

编辑:澄清一下,我目前只有一个模型,Post.rb和两个控制器posts_controller.rbstatic_pages_controller.rb

4

1 回答 1

3

我认为这是一个(非常)坏主意,因为每个人都可以通过查看 URL 来查看您的密码。此外,它将在浏览器的历史中。我建议使用这样的HTTP 基本身份验证

class PostsController < ApplicationController
  http_basic_authenticate_with :name => "my_username", :password => "my_password", :except => [:index, :show]
end
于 2012-11-14T05:32:57.373 回答