私は本当に特別なログイン機能を私のアプリで持っているので、プラグインの代わりに自分のコードを使用します。私のコントローラでセッションのレールとセキュリティ
私は私が(デフォルトとして)は、cookiestoreを使用
def login
...
session[:customer_id] = id
end
のようなものを持っています。それで安全ですか?誰かがクッキーを編集するとどうなりますか?誰かに別の人物を偽装することはできますか?
私は本当に特別なログイン機能を私のアプリで持っているので、プラグインの代わりに自分のコードを使用します。私のコントローラでセッションのレールとセキュリティ
私は私が(デフォルトとして)は、cookiestoreを使用
def login
...
session[:customer_id] = id
end
のようなものを持っています。それで安全ですか?誰かがクッキーを編集するとどうなりますか?誰かに別の人物を偽装することはできますか?
データの整合性を保証するために、メッセージダイジェストがCookieに含まれています。ユーザは、ハッシュに含まれている秘密鍵を知らずにuser_idを変更できません。新しいアプリはconfig/environment.rbにあらかじめ生成された秘密で生成されます。アップグレードする古いアプリを自分で設定してください。
http://api.rubyonrails.org/v2.3.8/classes/ActionController/Session/CookieStore.htmlを参照してください。また、この文に注意してください:
は、セッションデータの4Kまたは以上のものを持っている場合は、別のセッションストアを選んで、あなたのデータは、ユーザーに見えるようにしたくありません。
あなたの状況では、確かに問題ではなく、恐れなくCookieStoreを使用できます。