例如,Rails的寧靜身份驗證使用在Ruby on Rails中,使用User.find_by_id(session [:user_id])來標識用戶有多安全?
User.find_by_id(session[:user_id])
查找用戶的第一次嘗試。所以
- 如果會話通過使用cookies只存儲(這不就是隻用cookie的存儲會話信息的Rails的選擇嗎?),則不能使用用戶ID用戶12345 改變他cookie的值從12345到12346,假裝是另一個用戶?
一個側面說明
I.如果會話是由SESSION_ID作爲一個cookie,並擡頭在數據庫會話信息,則不能在另一個人竊取cookie並假裝成爲那個用戶? (通過攔截互聯網流量竊取cookie)
II。或者,由於第三種選擇是使用cookie auth_token
來檢查字段remember_token
的用戶表,所以另一個人是否可以盜取 此auth_token cookie並假裝爲該用戶?
這是一個很好的指導 – 2011-02-25 00:35:35
但你有一個簡短的回答這個問題? – 2011-02-25 02:24:45