在 Rails 3 中,将数据存储在 cookie 中和将数据存储在会话中,会话存储设置为默认的 CookieStore 有什么区别?
例如
cookie[:foo] = 'bar'
# MyApp::Application.config.session_store :cookie_store, key: '_myapp_session'
session[:foo] = 'bar'
据我所知,两者最终都存储在客户端 cookie 中。
您什么时候会选择使用其中一种?
谢谢。
问问题
20788 次
2 回答
125
在 Rails 3 中的主要区别在于,当您使用时cookie[:foo] = 'bar',用户能够看到 cookie 的值,即'bar'. 当您使用session[:foo] = 'bar'该值时,该值将由 rails 加密并存储在_myapp_sessioncookie 中。
cookie[]当您要存储的信息未绑定到会话时,例如当用户选择首选语言时,您将使用该格式。
session[]当您想要存储与当前会话相关的信息(例如用户的信息)时,您将使用该格式id。
于 2013-03-01T09:01:16.577 回答
14
Rails 为会话哈希提供了多种存储机制。最重要的是ActiveRecord::SessionStore和ActionDispatch::Session::CookieStore。
有许多会话存储,即 Rails 保存会话哈希和会话 ID 的地方。由于性能和维护原因,大多数实际应用程序选择ActiveRecord::SessionStore(或其衍生产品之一)而不是文件存储。ActiveRecord::SessionStore将会话 ID 和哈希保存在数据库表中,并保存和检索每个请求的哈希。
Rails 2 引入了一个新的默认会话存储,CookieStore. CookieStore将会话哈希直接保存在客户端的 cookie 中。服务器从 cookie 中检索会话哈希并消除对会话 ID 的需要。这将大大提高应用程序的速度,但这是一个有争议的存储选项,您必须考虑它的安全隐患:
Cookie 意味着 4kB 的严格大小限制。这很好,因为您不应该在会话中存储大量数据,如前所述。在会话中存储当前用户的数据库 ID 通常是可以的。客户端可以看到您在会话中存储的所有内容,因为它以明文形式存储(实际上是 Base64 编码的,因此未加密)。所以,当然,你不想在这里存储任何秘密。为了防止会话哈希篡改,从会话中计算出一个摘要,其中包含服务器端的秘密,并插入到 cookie 的末尾。这意味着此存储的安全性取决于此机密(以及摘要算法,该算法默认为 SHA512,尚未受到损害)。所以不要使用微不足道的秘密,即字典中的单词,或者少于 30 个字符的单词
于 2013-02-25T12:39:19.247 回答