我正在构建一个具有 Java 后端的 Google App Engine 网络应用程序,它在很大程度上依赖于浏览器中的 JavaScript/JQuery(您可以看到它 here)。
我想实现一个用户身份验证机制,该机制也将依赖于 AJAX(即,他们将能够在不刷新页面的情况下注册和登录)。
我不想依赖 Google 的身份验证,因为我发现很多人都不愿意放弃他们的 GMail 电子邮件地址,但我希望将来支持通过 Google/Facebook/Twitter 等进行身份验证。
我喜欢 Reddit 用户身份验证方法的简单性。
我担心的是,由于人们不会通过 HTTPS 使用我的应用程序,我不想必须通过 HTTP 以明文形式发送密码。我也更愿意依赖某种 secret token (可能是密码的哈希值和一些服务器提供的“盐”),它可以被拦截和欺骗。
与此同时,我不想在实现身份验证机制上投入大量精力。
是否有一种方法既能提供我想要的简单性,又能通过 HTTP 确保安全?
编辑:我刚刚意识到 Google App Engine 确实支持 HTTPS,但前提是您通过站点的 *.appspot.com URL 进行连接。不幸的是,由于跨站点脚本限制,您不能对此进行 AJAX 调用 - 尽管我猜它可能使用 JSONP。
那么,使用 JSONP+HTTPS+*.appspot.com 是最好的方法吗?
最佳答案
您必须使用 https 才能通过 http 进行安全通信。没有它,就无法通过浏览器进行安全通信。
如果您在 appspot 域上使用 JSONP + https,您的用户将看不到您的网站是安全的,并且您将无法以安全的方式保存 cookie。对我们来说,唯一的解决办法是将丑陋的 appspot.com 域直接暴露给我们的客户。很长一段时间以来,谷歌一直在说自定义域上的 SSL 即将到来,但没有具体日期。
针对 PS 进行编辑:如果您不需要客户看到绿色的 https,并且不需要以安全的方式保存 cookie(也许取而代之的是隐蔽的安全 session key ?),jsonp + https到 *.appspot.com 听起来像是一个可行的聪明解决方案。
关于javascript - 通过 AJAX 验证用户身份的最简单安全方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9113965/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
