Rodauth使用指南

Rodauth使用指南

rodauthRuby's Most Advanced Authentication Framework项目地址:https://gitcode.com/gh_mirrors/ro/rodauth

项目介绍

Rodauth是Ruby社区中最先进的身份验证框架，它专为Rack应用程序设计，但其灵活性允许它作为库在非Web应用中使用。Rodauth通过一系列可插拔的功能（如创建账户、更改密码等）提供强大的认证解决方案，并支持JSON API、WebAuthn、OTP等多种安全特性。它默认采用bcrypt进行密码哈希处理，确保数据安全。开发时依赖于Tilt、rack_csrf等，但这些主要是可选的，取决于启用的特性。

项目快速启动

要快速启动并运行Rodauth，首先你需要安装对应的gem。在你的Gemfile中添加：

gem 'rodauth'

然后执行bundle install。接下来，在你的Ruby应用中设置Rodauth。如果你的应用基于Roda框架，以下是如何集成的基本步骤：

require "roda"
require "rodauth"

class App < Roda
  plugin :sessions, secret: ENV['SESSION_SECRET']
  plugin :rodauth do
    enable :login, :logout, :verify_account
    # 根据需求开启其他功能，比如:webauthn, :otp, :recovery_codes等
    hmac_secret ENV['RODAUTH_HMAC_SECRET']
    # 若你的应用需要JSON API支持，请注释掉下面这行，并启用相关插件。
    # only_json false
  end
  
  route do |r|
    r.rodauth
    r.on 'protected' do
      # 需要在访问保护页面前调用require_authentication
      r.require_authentication
      # 这里放置受保护的路由逻辑
    end
  end
end

如果你的应用不是基于Roda，可以将Rodauht作为一个库独立使用，遵循相应的初始化方式。

应用案例和最佳实践

应用案例

在构建一个需要用户登录的Web应用时，Rodauth提供了无缝集成用户认证的能力。例如，结合:login, :logout特性，你可以轻松实现用户的登录与退出系统。对于增强安全性，可以通过启用:otp来增加两步验证，进一步保护用户账号不被非法访问。

最佳实践

• 环境变量管理敏感信息：如SESSION_SECRET和RODAUTH_HMAC_SECRET应该存储在环境变量中，而不是硬编码在代码里。
• 利用中间件：对于非Roda应用，正确配置Rodauth作为中间件，确保Set-Cookie头能够正确处理，特别是使用记住我(remember)功能时。
• 多配置场景：在需要对不同部分应用不同的认证策略时，利用Rodauth的多配置能力，保持代码的清晰和灵活。

典型生态项目

虽然Rodauth本身是一个专注于身份验证的库，它的强大在于高度定制化和与其他Rack或Ruby Web框架的集成。没有特定的“生态项目”围绕Rodauth建立，但它是Ruby Web开发生态系统中的一个重要成员，广泛应用于自定义Web应用、API服务以及需要复杂身份验证逻辑的各种项目中。Rodauth通常与Roda、Sinatra乃至Rails等框架的项目集成，为它们提供专业化的身份验证解决方案。

通过上述指导，你应该能够快速上手并开始在你的Ruby应用中集成和使用Rodauth了。记得查阅项目GitHub页面获取最新特性和文档更新。

rodauthRuby's Most Advanced Authentication Framework项目地址:https://gitcode.com/gh_mirrors/ro/rodauth