1

根据这个问题,会话可以由用户编辑。但是这个答案表明存储用户 ID 是安全的。

来自Rails 文档

cookie 中包含消息摘要以确保数据完整性:用户无法在不知道哈希中包含的密钥的情况下更改其 user_id

由于<%= debug(session) %>嵌入了我的页面和 Chrome 的开发者工具中的会话值,我无法在会话 cookie 中找到消息摘要。如果我以用户 A 的身份登录,然后以用户 B 的身份登录,则会话 cookie 将保持相同的异常user_id值。

那么消息摘要在哪里或者我需要一些配置?自动生成的 secret_token 存在于config/initializers/secret_token.rb. 它是否存储在服务器的内存中并在每个请求上散列会话值?

4

1 回答 1

1

消息摘要是 cookie 值的一部分。它不是您在会话中获得的数据的一部分。

如果您检查 chrome 中的原始 cookie 值,您可以看到它 - 摘要与有效负载之间用“--”分隔

于 2012-12-09T16:22:23.627 回答