How to de/encrypt user data with attr_encrypted and authlogic
我有一个使用AuthLogic的用户模型和一个为每个用户存储一些机密数据的模型。为了保护系统的安全,我想使用attr_encrypted对后一个模型的属性进行反/加密。我希望有一个安全的系统,如果有人设法窃取整个数据库和应用程序源代码。
我的问题是:生成ATTR U加密密码的最佳方法是什么?在登录会话期间,如何将其保存在"内存"中,以便在必要时对其进行解密?
我想到了以下几点:
当用户注册时生成随机密码,用用户密码加密并保存到数据库中。
每当用户登录时,使用他的密码来解密随机密码。
将随机密码保存在cookie中,以便在必要时对个人数据进行反加密。
你有什么建议或更好的主意吗?尤其是我不确定最后一个要点…
我刚刚找到了我想要的:
如何对单个文件实施密码保护?
如果您使用AuthLogic,它将管理密码资料、会话等,并且您不需要担心密码解密。它是自动的。