ruby-on-rails - Rails - 用于 session 的 Cookie 或 Active Record 存储

标签 ruby-on-rails security

我正在为我的项目构建一个身份验证系统。
存储 session 信息的推荐方法是什么(我只是存储用户的 id 没有别的):

  • cookies 店
  • 事件记录存储

    • 此外,使用嵌套表单和 accepts_nested_attributes_for 的安全问题是什么。

    请指教。

    非常感谢。

    最佳答案

    使用 CookieStore 时肯定存在安全问题。主要问题是无法在服务器端终止 CookieStore session 。如果有人可以访问您的 cookie,他可以轻松地以您的身份登录。即使您注销并使用新 cookie 开始新 session 。

    ActiveRecordStore 至少使您能够通过从数据库中删除 session 来使 session 无效。

    这是一篇关于它的好博文。 http://www.bryanrite.com/ruby-on-rails-cookiestore-security-concerns-lifetime-pass/

    关于ruby-on-rails - Rails - 用于 session 的 Cookie 或 Active Record 存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7014458/

    上一篇:google-analytics - 无法从 Google Analytics Reporting API V4 (Java) 中提取多个指标

    下一篇:google-analytics - 需要帮助来从Google Analytics(分析)Reporting API获取DFP和发布商收入

    相关文章:

    ruby-on-rails - 在 linux 上运行的新应用程序的单声道还是 RoR?

    ruby-on-rails - 尝试使用 Capybara、Cucumber、RSpec 和 Devise 登录时重定向到 example.com

    php - 用于数据库和网络安全的 preg_replace 函数

    java - RMI:将两个远程对象绑定(bind)到同一注册表时抛出 ClassNotFoundException

    javascript - 来自第三方黑客的基于 JavaScript 浏览器的游戏有多安全

    ruby-on-rails - 让assert_select 告诉我元素实际上是什么

    ruby-on-rails - 如何使用 Nokogiri 抓取非标准 HTML

    ruby-on-rails - 选择 Ruby on Rails 作为基于浏览器的在线游戏平台

    ASP.NET 自定义错误与编译调试 ="false"和安全性

    php - 谷歌是偏执狂吗?

    ©2024 IT工具网  联系我们