gpt4 book ai didi

ruby-on-rails - 使用 session [:user_id]] 的 Rails 身份验证的安全性

转载 作者:行者123 更新时间:2023-12-03 16:02:04 27 4
gpt4 key购买 nike

我注意到很多 Rails 身份验证教程将用户 ID 存储在 session[:user_id] 中以记住用户并对其进行身份验证。假设应用程序中的某个地方公开了 user_id(URL、HTML 属性上的属性等),这不是不安全,因为我可以编辑 session cookie 以使用其他人的 user_id?我在这里错过了什么吗?

最佳答案

根据Rails Security Guide :
“为了防止 session 散列篡改,从 session 中计算出一个带有服务器端 secret 的摘要,并将其插入到 cookie 的末尾。”

所以看起来 Session 可以被认为是安全的,不会被用户篡改(假设我们的服务器端 secret 是安全的)。但是,用户仍然可以读取 session 哈希中的任何内容,因此我们不想存储敏感信息。

关于ruby-on-rails - 使用 session [:user_id]] 的 Rails 身份验证的安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10353861/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com