我发现 Rails 的设计身份验证框架不会对数据库中的 reset_password_token 和 Confirmation_token 进行哈希处理?有谁知道为什么?
显然,将这样的值以纯文本形式存储在数据库中是一种不好的方法,因为有权访问数据库的每个人都可以重用令牌并将它们直接发送到 API(例如,可以轻松触发密码重置,而无需访问到电子邮件)。此外,这只是将散列存储在数据库中的最小努力。这就是为什么我想知道这种普通令牌方法背后的想法是什么?
更新:没有人对此有任何意见吗?从我的角度来看,这是一个安全问题,但看起来我是唯一一个担心这个问题的人:D