- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我已经使用 Devise 来处理 Rails 应用程序上的身份验证有一段时间了,但从未真正理解它是如何工作的。因为 Devise 还使用 Rails 上设置的 session 存储配置,所以我假设这是一个有关 Rails session 处理的问题。
基本上,我是一个auth新手。我读过一些关于身份验证的文章,但大多数都涉及抽象库(他们谈论引擎、中间件等),这对我来说没有多大意义。我真的在寻找较低级别的细节。
这是我目前所知道的..
我了解 cookie 和 session 。 Cookie 是存储在客户端的字符串,用于跨多个 HTTP 请求维护 session 。
这是我对身份验证的基本理解(如果我错了,请纠正我):
当用户登录时,我们将 SSL 加密请求发送到服务器。如果凭据有效,我们会在数据库(或任何其他数据存储)上保存一个名为 session ID 的随机字符串,作为与用户 ID 关联的有效 session ID。该 session ID 在用户每次登录/注销时都会更改。
将该 session ID 保存到数据存储后,我们返回一个响应,要求浏览器使用该 session ID 设置 Cookie。然后,该 session ID 与用户 ID 一起将被发送到域以进行连续请求,直到过期。对于每个请求,我们的服务器都会检查 header 中的 session ID,并验证该 session ID 对于该用户 ID 是否有效。如果是,则认为该用户已通过身份验证。
这是我的问题:
我读到,默认情况下从 Rails 2 开始,它现在使用 CookieStore(而不是 SessionStore),它使用 SHA512(而不是 session ID)生成 session 哈希值,并且所有这些都存储在 cookie 中,这意味着多个用户 ID 实际上可以具有相同的 session 哈希值,并且它可以正常工作。在我看来,这是一件非常危险的事情,用存储在服务器上的单个 key 公开大量哈希值,并使整个身份验证系统基于此 key 。现实世界中是否存在使用散列而不是存储服务器端 session ID 的大型应用程序?
关于在服务器端存储事件 session ID 的主题,我还了解到您可以切换到使用不同类型的 Rails session 存储。基于此,我听说系统将身份验证系统作为服务移出并使用身份验证 token 。什么是身份验证 token 以及它与 session ID 有何不同?
似乎我可以继续猜测一个随机字符串(对于哈希和服务器端 session )来获取现有 session 。有没有办法防止这种情况发生?使用 cookie 中存储的更多值是否正常? (例如用户名、真实姓名甚至用于身份验证的另一个哈希值)
我知道我问了很多,但我相信这对于像我这样不了解身份验证的人很有用,并且对于为该主题打下坚实的基础非常有用。
最佳答案
I've read that by default starting from Rails 2, it now uses CookieStore (instead of SessionStore) which generates session hashes with SHA512 (instead of session ids), and all this is stored on a cookie which means multiple user id's can literally have the same session hash and it would just work fine. It seems to me that this is a very dangerous thing, exposing a large number of hashes with a single secret key stored on the server and basing your entire authentication system based on this key.
是的,乍一看似乎很可怕,但我不确定真正的危险是什么。在 Rails 4 中, session 数据使用 PBKBF2 进行加密,然后使用您的 session key 进行签名。此签名有助于检测加密 session 的内容是否已被篡改,如果服务器检测到篡改,将拒绝该 session 。
https://cowbell-labs.com/2013-04-10-decrypt-rails-4-session.html
如果有人获得了 session token (用于签署 session cookie)的访问权限,您可能会遇到比最终用户试图冒充错误用户更大的问题。
Is there a real world large scale application that uses hashing instead of storing server side session id's?
老实说,我暂时不知道这个问题的答案,但我怀疑这是 Rails 的“默认”这一事实意味着有不止少数网站使用 cookie session 存储。
On the topic of storing active session id's on server side, I've also read that you can switch to use different kinds of session storage for Rails. Based on this, I've heard of systems moving authentication systems out as services and using auth tokens instead. What's an auth token and how does it differ from a session id?
我现在在服务器上执行此操作 - 基本上,当用户进行身份验证时会生成一个随机哈希值,并且该哈希值会在 cookie 中存储、加密和签名。 cookie 哈希是服务器端数据存储的 key (在我的例子中是 Redis,但它可以位于关系数据库或内存缓存或任何您喜欢的数据库中),而实际的 session 数据是映射到该 key 的存储的服务器端。这使得客户端掌握的 session 数据更少,人们可能会解密和分析它,因此通常更安全。
Seems like I can just keep guessing a random string (for both hashing and server side sessions) to grab an existing session. Is there a way to protect against this? Is it normal to use more values stored on a cookie? (such as the username, real name or even another hash for authentication)
是的,你可以这样做,但这需要非常非常长的时间。您还需要猜测如何对新被篡改的 cookie 数据进行签名,以便它与服务器期望在其端看到的内容相匹配,并且使用相当大的 key 进行签名。
我真的不认为除了使用 cookie 之外还有其他持久身份验证状态的选择(我想如果您感觉很陌生并且不太关心旧版浏览器支持,那么 HTML5 本地存储会起作用)。
关于ruby-on-rails - session 和 cookie 在 Rails 中如何工作?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29182916/
以下是一个非常简单的ruby服务器。 require 'socket' local_socket = Socket.new(:INET, :STREAM) local_addr = Socket.
我正在使用 OS X(使用 bash),并且是 unix 的新手。我想知道是否可以修改一些文件以便运行 ruby 程序,我不需要“ruby file.rb”,而是可以运行“ruby.rb”。 有理
我在用 Ruby 替换字符串时遇到一些问题。 我的原文:人之所为不如兽之所为。 我想替换为:==What== human does is not like ==what== animal does.
我想在一个循环中从 Ruby 脚本做这样的事情: 写一个文件a.rb(每次迭代都会改变) 执行系统(ruby 'a.rb') a.rb 将带有结果的字符串写入文件“results” a.rb 完成并且
我的问题是尝试创建一个本地服务器,以便我可以理解由我的新团队开发的应用程序。我的问题是我使用的是 Ruby 2.3.3,而 Gemfile 需要 2.3.1。我无法编辑 Gemfile,因为我被告知很
我有一个使用 GLI 框架用 Ruby 编写的命令行实用程序。我想在我的主目录中配置我的命令行实用程序,使用 Ruby 本身作为 DSL 来处理它(类似于 Gemfile 或 Rakefile)。 我
我的 Rails 应用 Controller 中有这段代码: def delete object = model.datamapper_class.first(:sourced_id =>
我正在寻找的解析器应该: 对 Ruby 解析友好, 规则设计优雅, 产生用户友好的解析错误, 用户文档的数量应该比计算器示例多, UPD:允许在编写语法时省略可选的空格。 快速解析不是一个重要的特性。
我刚开始使用 Ruby,听说有一种“Ruby 方式”编码。除了 Ruby on Rails 之外,还有哪些项目适合学习并被认可且设计良好? 最佳答案 Prawn被明确地创建为不仅是一个该死的好 PDF
我知道之前有人问过类似的问题,但是我该如何构建一个无需在前面输入“ruby”就可以在终端中运行的 Ruby 文件呢? 这里的最终目标是创建一个命令行工具包类型的东西。现在,为了执行我希望用户能够执行的
例如哈希a是{:name=>'mike',:age=>27,:gender=>'male'}哈希 b 是 {:name=>'mike'} 我想知道是否有更好的方法来判断 b 哈希是否在 a 哈希内,而
我是一名决定学习 Ruby 和 Ruby on Rails 的 ASP.NET MVC 开发人员。我已经有所了解并在 RoR 上创建了一个网站。在 ASP.NET MVC 上开发,我一直使用三层架构:
最近我看到 Gary Bernhardt 展示了他用来在 vim 中执行 Ruby 代码的 vim 快捷方式。捷径是 :map ,t :w\|:!ruby %. 似乎这个方法总是执行系统 Rub
在为 this question about Blue Ruby 选择的答案中,查克说: All of the current Ruby implementations are compiled to
我有一个 Ruby 数组 > list = Request.find_all_by_artist("Metallica").map(&:song) => ["Nothing else Matters"
我在四舍五入时遇到问题。我有一个 float ,我想将其四舍五入到小数点后的百分之一。但是,我只能使用 .round ,它基本上将它变成一个 int,意思是 2.34.round # => 2. 有没
我使用 ruby on rails 编写了一个小型 Web 应用程序,它的主要目的是上传、存储和显示来自 xml(文件最多几 MB)文件的结果。运行大约 2 个月后,我注意到 mongrel 进程
我们如何用 Ruby 转换像这样的字符串: 𝑙𝑎𝑡𝑜𝑟𝑟𝑒 收件人: Latorre 最佳答案 s = "𝑙𝑎𝑡𝑜𝑟𝑟𝑒" => "𝑙𝑎𝑡𝑜𝑟𝑟𝑒" s.u
通过 ruby monk 时,他们偶尔会从左侧字段中抛出一段语法不熟悉的代码: def compute(xyz) return nil unless xyz xyz.map {|a,
不确定我做错了什么,但我似乎弄错了。 问题是,给你一串空格分隔的数字,你必须返回最大和最小的数字。 注意:所有数字都是有效的 Int32,不需要验证它们。输入字符串中始终至少有一个数字。输出字符串必须
我是一名优秀的程序员,十分优秀!