为网络应用程序的所有用户生成密码
generate passwords for all users for a web app
我正在使用 ruby 和 hanami 构建应用程序,但我认为我的问题可能与框架无关。该应用程序的用户将登录以预约会议。用户的密码将使用 bcrypt 加密。
我的问题是关于用户创建的。用户不会注册,但会由管理员预先创建。所有用户数据都已经是 csv 格式,可以直接导入数据库 w/o 管理员必须单独创建每个数据。
是否可以这样做,并在导入其余数据后为所有用户生成密码(如初始密码)?
此致
塞巴
这里的最佳做法是同时拥有不同的密码哈希字段和注册确认令牌字段。注册令牌以随机字符串的形式生成,这是非常难以猜测的,并被发送给创建的用户。通常这是通过电子邮件完成的,但也可以是任何允许您发送 link.
这些 link 看起来像:
http://example.com/confirm/IVfltNx18MEgU57pvtRGg2lx
最后一位是您的确认令牌。
您使用该确认令牌查找任何用户记录,然后向该用户询问他们的初始密码。这就是您保存在数据库中的内容。届时,您可以决定永久禁用此 URL。有时这对安全性很重要,有时这非常不方便,因为用户会抱怨他们的注册 link 不再有效。您必须评估保持它活跃的风险和好处。
通常,此注册系统可以与您无论如何都需要的 "reset password" 功能结合使用或作为其扩展。对于邀请,最好在第一次创建密码时解释用户设置密码的目的,您可能需要解释服务是什么,以免他们感到困惑,而对于重置请求,他们已经知道要做什么期待。
我正在使用 ruby 和 hanami 构建应用程序,但我认为我的问题可能与框架无关。该应用程序的用户将登录以预约会议。用户的密码将使用 bcrypt 加密。
我的问题是关于用户创建的。用户不会注册,但会由管理员预先创建。所有用户数据都已经是 csv 格式,可以直接导入数据库 w/o 管理员必须单独创建每个数据。
是否可以这样做,并在导入其余数据后为所有用户生成密码(如初始密码)?
此致
塞巴
这里的最佳做法是同时拥有不同的密码哈希字段和注册确认令牌字段。注册令牌以随机字符串的形式生成,这是非常难以猜测的,并被发送给创建的用户。通常这是通过电子邮件完成的,但也可以是任何允许您发送 link.
这些 link 看起来像:
http://example.com/confirm/IVfltNx18MEgU57pvtRGg2lx
最后一位是您的确认令牌。
您使用该确认令牌查找任何用户记录,然后向该用户询问他们的初始密码。这就是您保存在数据库中的内容。届时,您可以决定永久禁用此 URL。有时这对安全性很重要,有时这非常不方便,因为用户会抱怨他们的注册 link 不再有效。您必须评估保持它活跃的风险和好处。
通常,此注册系统可以与您无论如何都需要的 "reset password" 功能结合使用或作为其扩展。对于邀请,最好在第一次创建密码时解释用户设置密码的目的,您可能需要解释服务是什么,以免他们感到困惑,而对于重置请求,他们已经知道要做什么期待。