那些遇到过的问题

Rails:在"会话"中存储数据是否安全?

Mis*_*hko 6 security session ruby-on-rails ruby-on-rails-3

我想存储当前登录用户的类型session[:user_type].选项包括:"admin","end_user","demo"(将来可能会添加更多用户类型).

我想知道在Rails 3应用程序中这样做是否安全.

用户可以以某种方式session[:user_type]从"演示" 更改为"管理员"吗?

Mik*_*ike 5

这取决于您的会话商店.
默认情况下,使用cookie作为会话存储,因此默认情况下,更改cookie的内容非常容易.

所以你可以:

  • 在config/initializers/session_store.rb中更改会话存储,并使用activerecord存储(因此它将存储在db中)或memcache存储.github上还有很多插件可以让你使用redis,mongodb,......作为会话商店
  • 将此信息存储在您的数据库中,并在您的application_controller中有一个before_filter访问cookie以获取当前用户ID并将整个用户对象放入变量@current_user

  • 这不完全准确(请阅读以下ThoKra链接的文章).Rails使用摘要对cookie进行签名,如果摘要不匹配,则返回会话值的nil,因此即使最终用户存储在cookie中,也无法更改会话值. (6认同)
  • @Misha.你是对的,user_id不应该在cookie中,因为它可以被操纵.但是,如果你在会议USER_ID储存,不使用cookie_store,作为小李的第一种选择,你不会有这个问题. (2认同)

归档时间:

查看次数:

4708 次

最近记录:

14 年,5 月 前
Rails会议当前的做法 82
更多相关链接
相关归档
Ruby,Rails:mysql2 gem,有人使用这个gem吗?它稳定吗? 35
ActionController :: LIve是否可以检查连接是否仍然存在? 17
您使用哪些安全软件开发实践? 9
保护Symfony 2中的下载链接 8
Rails和Rspec - 在表单提交失败时检查是否存在错误 6
使用ajax请求保持会话存活是否安全? 6
App中捆绑的API Key和Secret的最佳实践 5
在 NextJS getServerSideProps 中使用 Bearer token 装饰 api 请求 5
为什么我启用 csrf 时收到 401 错误? 5
在PHP类中设置会话 3
难疑归档
堆栈和堆的内容和位置是什么? 7847
应该在JavaScript比较中使用哪个等于运算符(== vs ===)? 5666
如何检查文件是否存在而没有例外? 5290
使用jQuery为复选框设置"选中"? 3988
如何在Java中调用另一个构造函数? 2144
Git拒绝合并关于rebase的无关历史 1862
在Vim中复制整行 1555
没有指定分支的"git push"的默认行为 1339
你怎么能加速Eclipse? 1258
功能编程是否取代了GoF设计模式? 1028