Forum: Italian Ruby user group Autenticazione in rails 4

Announcement (2017-05-07): www.ruby-forum.com is now read-only since I unfortunately do not have the time to support and maintain the forum any more. Please see rubyonrails.org/community and ruby-lang.org/en/community for other Rails- und Ruby-related community platforms.
28ef639de0d690812ce4e5ccf217868c?d=identicon&s=25 Saro V. (saro_v)
on 2016-01-12 15:39
Salve a tutti,
sto cercando di studiare per bene come mettere in sicurezza una web app
e le API.

Quello che mi piacerebbe implementare è un sistema di autenticazione
tramite numero di telefono. Il webserver genera una password e un token,
inviando il primo tramite sms ( magari tramite servizi come Twilio ).

Numero di cellulare e password saranno usati poi per accedere alla web
app.

Tuttavia c'è anche un app mobile che dovrebbe servirsi invece del token
per l'accesso alle API. Quindi una volta inserito nome utente e password
viene inviato il token all'app che lo memorizza ( naturalmente il tutto
tramite HTTPS ).

Mi stavo guardando in giro per vedere che gemme esistono per rails-4. Da
quello che vedo Devise è quello più usato/conosciuto ma non supporta più
i token in quanto ritenuti insicuri ( mi piacerebbe capire meglio il
perchè ).

Viene detto di usare un sistema più sicuro come Oauth2 che potrebbe
essere utile nel momento in cui volessi rendere pubbliche le mie API o
se volessi far loggare gli utenti da piattaforme come twitter, google
etc.
Ma non penso sia utile al mio scopo, no???

Insomma...un mare di confusione e mi piacerebbe capire quale sistema
ritenete migliore e quale gemma più semplice ed immediata per il mio
scopo.
Eff93e9bbe063b7136c9b6f218071a09?d=identicon&s=25 Marco Mastrodonato (marcomd)
on 2016-01-12 16:27
Ciao,
io ho un'applicazione rails 3 che utilizza la versione di devise "con
token" per fornire le sue api e dovrò sicuramente aggiornarla. Seguo
quindi con interesse la tua questione.
Devise non supporta più i token e a mio avviso giustamente. Ti lascio un
link che ti può tornare utile:
https://github.com/gonzalo-bulnes/simple_token_aut...
28ef639de0d690812ce4e5ccf217868c?d=identicon&s=25 Saro V. (saro_v)
on 2016-01-12 16:45
Marco Mastrodonato wrote in post #1180562:
> Ciao,
> io ho un'applicazione rails 3 che utilizza la versione di devise "con
> token" per fornire le sue api e dovrò sicuramente aggiornarla. Seguo
> quindi con interesse la tua questione.
> Devise non supporta più i token e a mio avviso giustamente. Ti lascio un
> link che ti può tornare utile:
> https://github.com/gonzalo-bulnes/simple_token_aut...

Quindi tramite questa gemma dovrebbe essere possibile implementare Token
Authentication con Devise in modo sicuro?
Mmm, a quanto pare questa potrebbe essere una soluzione al problema...
28ef639de0d690812ce4e5ccf217868c?d=identicon&s=25 Saro V. (saro_v)
on 2016-01-12 18:04
Marco, dai anche un occhio a questo:
https://github.com/lynndylanhurley/devise_token_auth

Sembra davvero ben fatto
Eff93e9bbe063b7136c9b6f218071a09?d=identicon&s=25 Marco Mastrodonato (marcomd)
on 2016-01-13 09:17
Devise token auth sembra molto interessante ed è stato testato anche con
activeadmin che per me è un plus, grazie
28ef639de0d690812ce4e5ccf217868c?d=identicon&s=25 Saro V. (saro_v)
on 2016-01-13 09:54
Io cerco di implementarlo nella giornata di oggi...ti faccio sapere.
666b4ee5c26c5f60f0448ad0ab7777f3?d=identicon&s=25 Riccardo Tacconi (rtacconi)
on 2016-07-28 18:23
Usare un SMS per TFA ed il tuo tipo di autenticazione e` insicuro:

http://thehackernews.com/2016/07/two-factor-authen...

Potresti usare Google authenticator
https://github.com/jaredonline/google-authenticator
This topic is locked and can not be replied to.