ruby-on-rails – Rails：在“会话”中存储数据是否安全？

发布时间：2020-12-16 23:26:19 所属栏目：百科来源：网络整理

导读：我想在session [：user_type]中存储当前登录用户的类型.选项包括：“admin”,“end_user”,“demo”(将来可能会添加更多用户类型). 我想知道在Rails 3应用程序中这样做是否安全. 用户可以以某种方式将会话[：user_type]从“demo”更改为“admin”吗？解决方

我想在session [：user_type]中存储当前登录用户的类型.选项包括：“admin”,“end_user”,“demo”(将来可能会添加更多用户类型).

我想知道在Rails 3应用程序中这样做是否安全.

用户可以以某种方式将会话[：user_type]从“demo”更改为“admin”吗？

解决方法

这取决于您的会话商店.
默认情况下,使用cookie作为会话存储,因此默认情况下,更改cookie的内容非常容易.

所以你可以：

>更改您的会话商店
config / initializers / session_store.rb并使用activerecord存储(因此它将存储在db中)或memcache存储. github上还有很多插件可以让你使用redis,mongodb,……作为会话商店>将此信息存储在您的数据库中,并在您的application_controller中使用before_filter访问cookie以获取当前用户ID并将整个用户对象放入变量@current_user

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!