最佳的灵活rails密码安全实现[英] Best flexible rails password security implementation

本文是小编为大家收集整理的关于最佳的灵活rails密码安全实现的处理方法,想解了最佳的灵活rails密码安全实现的问题怎么解决?最佳的灵活rails密码安全实现问题的解决办法?那么可以参考本文帮助大家快速定位并解决问题。

问题描述

我需要实现具有各种灵活要求的密码安全性.这些要求基本上取自 Sans 密码策略:

<块引用>

强密码具有以下特点:

至少包含以下五个字符类别中的三个:

  • 小写字符
  • 大写字符
  • 数字
  • 标点符号
  • "特殊"字符(例如@#$%^&*()_+|~-=`{}[]:";'<>/等)
  • 至少包含 15 个字母数字字符.

还有不允许用户的电子邮件地址出现在密码中的要求.

理想情况下,我想要一个可以处理这个问题的 gem - 它会得到更广泛的测试和使用,而且我们不太可能出现错误.

如果没有 gem 涵盖这一点,那么处理这些要求的最佳和最坚固的方法是什么?理想情况下,我们可以说我们不仅安全,而且安全,因为我们有行业标准实施.

目前我发现的宝石有:

  • 强密码,它看起来只是提供熵检查,让用户知道他们的密码是否是强.

(我们正在使用 Rails 3.2.17 和 Ruby 1.9.3,但计划很快迁移到 Rails 4 和 Ruby 2,因此也欢迎更新的解决方案).

推荐答案

我们使用 devise 安全扩展已经有一段时间了.它有很多有趣的功能(例如密码历史、密码过期......).

对于密码复杂性,我们想要一些更可配置的东西(在您的示例中:让客户选择他们想要的复杂程度).

因此,我们根据分数推出了自己的解决方案:5 分中的 3 分(在您的示例中)意味着我们正在测试每个特征,如果找到它就给一分.如果总分等于或大于要求的分数,那么密码就可以了.

在代码方面,我们的验证如下所示:

validate :password_complexity

def password_complexity
 return if password.nil?

 if password.size < 8
   errors.add :password, "Must be at least 8 characters long."
   return
 end

 required_complexity = 3 # we're actually storing this in the configuration of each customer

 if !CheckPasswordComplexityService.new(password, required_complexity).valid?
   errors.add :password, "Your password does not match the security requirements."
 end
end

检查复杂性的服务如下所示:

class CheckPasswordComplexityService

  attr_reader :password, :required_complexity

  def initialize(password, required_complexity)
    @password = password
    @required_complexity = required_complexity
  end

  def valid?
    score = has_uppercase_letters? + has_digits? + has_extra_chars? + has_downcase_letters?

    score >= required_complexity
  end

  private

  def has_uppercase_letters?
    password.match(/[A-Z]/) ? 1 : 0
  end

  def has_digits?
    password.match(/\d/) ? 1 : 0
  end

  def has_extra_chars?
    password.match(/\W/) ? 1 : 0
  end

  def has_downcase_letters?
    password.match(/[a-z]{1}/) ? 1 : 0
  end
end

然后添加一些您想要检查的新特征变得非常容易.

本文地址:https://www.itbaoku.cn/post/786623.html