我想将当前登录用户的类型存储在 session[:user_type]
中.选项有:“admin”、“end_user”、“demo”(将来可能会添加更多用户类型)。
我想知道在 Rails 3 应用程序中这样做是否安全。
用户可以以某种方式更改 session[:user_type]
从“演示”到“管理员”?
最佳答案
这取决于您的 session 存储。
默认情况下,使用 cookie 作为 session 存储,因此默认情况下更改 cookie 的内容并不安全。
所以你可以:
config/initializers/session_store.rb 并使用 activerecord 存储(因此它将存储在 db 中)或 memcache 存储。 github 上也有很多插件可以让你使用 redis、mongodb、...作为 session 存储
关于ruby-on-rails - rails : Is that safe to store data in "session"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5471135/