Rails中给定设置页面的第二个密码 - 非MFA
问题描述:
在我的Rails应用程序中,我们使用Devise gem进行身份验证和授权。但是为了查看一些页面,客户想要输入第二个密码,他们将像超级用户那样行事。这不是多因素验证请求,而是一组给定页面/资源的一次性密码(OTP),只是OTP将是静态的。Rails中给定设置页面的第二个密码 - 非MFA
设计不提供此功能。谷歌搜索没有帮助。任何想法怎么可能实现?
答
这听起来像是一种反模式。为什么不在User
上增加一个表示用户是否是超级用户的字段?
这具有以下优点:
- 没有密码记住并分发
- 超级用户有一个执行
- ,你可以很容易地从该组中删除用户较少的步骤,如果需要的话
- 你不需要建立一个二级登录表/页
使用安全密码创建另一个字段可能是一个解决方案 –