使用 Devise 实现更好的 Rails 身份验证，无需 SSL

Question

我现在需要非常基本的身份验证方案，并且我不想在登录过程中涉及 SSL。然而，仅以纯文本形式发送密码感觉真的很蹩脚，所以我想半途而废。设计（或扩展）中是否有任何构建方式可以防止发送纯文本密码并使用某种哈希值代替？

顺便说一句：请不要因为 SSL 或此解决方案（缺乏）安全性而引发任何激烈的争论。我知道任何后果、解决方案的安全级别等等。我现在只需要以尽可能少的努力解决我的问题（我不想自己编写这部分代码）。

Answer 1

一种可能性是向用户的手机、电子邮件或 IM 帐户发送一个简单的一次性密码，尽管这会让您编写的代码超出您的预期。然后，用户可以回复该消息或单击一次性链接来获得访问权限。

它或多或少地消除了传统双因素身份验证的第一个因素。

Answer 2

我不确定您为什么对 SSL 不感兴趣，我相信您有自己的理由，但由于我看到您使用 Heroku，您始终可以启用 Piggyback SSL 插件，而无需为 SSL 支付额外费用。

除此之外，您可以考虑某种客户端哈希或加密/解密解决方案。我不知道任何 Rails 预先存在的东西，但我想到的是一个像 http://wordpress.org/extend/plugins/semisecure-login-for-25/ 或 http://wordpress.org/extend/plugins/semisecure-login-reimagined/ 使用对称密钥加密进行某种 diffie-hellman 来保护身份验证会话。

除此之外，如果你用谷歌搜索“rails 二因素身份验证”，还有几个适用于 Rails 的二因素身份验证插件。我自己还没有尝试过，但我有兴趣找个时间尝试一下付费的 Authfactor (http://www.binpress.com/app/authfactor/173) Rails 插件。

希望有帮助。