我正在为我的项目构建一个身份验证系统。
存储 session 信息的推荐方法是什么(我只是存储用户的 id 没有别的):
此外,使用嵌套表单和 accepts_nested_attributes_for 的安全问题是什么。
请指教。
非常感谢。
最佳答案
使用 CookieStore 时肯定存在安全问题。主要问题是无法在服务器端终止 CookieStore session 。如果有人可以访问您的 cookie,他可以轻松地以您的身份登录。即使您注销并使用新 cookie 开始新 session 。
ActiveRecordStore 至少使您能够通过从数据库中删除 session 来使 session 无效。
这是一篇关于它的好博文。 http://www.bryanrite.com/ruby-on-rails-cookiestore-security-concerns-lifetime-pass/
关于ruby-on-rails - Rails - 用于 session 的 Cookie 或 Active Record 存储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7014458/