我想在session [:user_type]中存储当前
登录用户的类型.选项
包括:“admin”,“end_user”,“demo”(将来可能会
添加更多
用户类型).
我想知道在Rails 3应用程序中这样做是否安全.
用户可以以某种方式将会话[:user_type]从“demo”更改为“admin”吗?
这取决于您的会话商店.
默认情况下,使用cookie作为会话存储,因此默认情况下,更改cookie的
内容非常容易.
所以你可以:
>更改您的会话商店
config / initializers / session_store.rb并使用activerecord存储(因此它将存储在db中)或memcache存储. github上还有很多插件可以让你使用redis,mongodb,……作为会话商店>将此信息存储在您的数据库中,并在您的application_controller中使用before_filter访问cookie以获取当前用户ID并将整个用户对象放入变量@current_user