我有一个使用AuthLogic的用户模型和一个为每个用户存储一些机密数据的模型。为了保护系统的安全，我想使用attr_encrypted对后一个模型的属性进行反/加密。我希望有一个安全的系统，如果有人设法窃取整个数据库和应用程序源代码。

我的问题是：生成ATTR U加密密码的最佳方法是什么？在登录会话期间，如何将其保存在"内存"中，以便在必要时对其进行解密？

我想到了以下几点：

• 当用户注册时生成随机密码，用用户密码加密并保存到数据库中。

• 每当用户登录时，使用他的密码来解密随机密码。

• 将随机密码保存在cookie中，以便在必要时对个人数据进行反加密。

你有什么建议或更好的主意吗？尤其是我不确定最后一个要点…

我刚刚找到了我想要的：

如何对单个文件实施密码保护？

如果您使用AuthLogic，它将管理密码资料、会话等，并且您不需要担心密码解密。它是自动的。