ruby-on-rails – Rails:在“会话”中存储数据是否安全?

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – Rails:在“会话”中存储数据是否安全?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想在session [:user_type]中存储当前登录用户的类型.选项包括:“admin”,“end_user”,“demo”(将来可能会添加更多用户类型).

我想知道在Rails 3应用程序中这样做是否安全.

用户可以以某种方式将会话[:user_type]从“demo”更改为“admin”吗?

解决方法

这取决于您的会话商店.
默认情况下,使用cookie作为会话存储,因此默认情况下,更改cookie的内容非常容易.

所以你可以:

>更改您的会话商店
config / initializers / session_store.rb并使用activerecord存储(因此它将存储在db中)或memcache存储. github上还有很多插件可以让你使用redis,mongodb,……作为会话商店>将此信息存储在您的数据库中,并在您的application_controller中使用before_filter访问cookie以获取当前用户ID并将整个用户对象放入变量@current_user

猜你在找的Ruby相关文章