은 레일 평안한 인증은 첫 번째 시도로 사용자를 찾을 수Ruby on Rails에서 User.find_by_id (세션 [: user_id])를 사용하여 사용자를 식별하는 것이 얼마나 안전할까요? 예를 들어
User.find_by_id(session[:user_id])
를 사용합니다. 그래서
- 세션이 쿠키의 사용에 의해에만 저장되어있는 경우 (이 그냥 쿠키를 사용하여 모든 세션 정보를 저장하는 레일 옵션이 아닙니다?) 다음 사용자 ID와 할 수없는 사용자가 12345 변경 그의 12345에서 12346 사이의 쿠키 값을 다른 사용자로 가장합니까? 세션이 다른 사람이 쿠키를 훔치는 척 할 수없는 다음, 쿠키 등의 SESSION_ID에 의해, 그리고 DB에 세션 정보를 조회
I. 경우 보조 노트로
그 사용자가 되려면? (차단 인터넷 트래픽으로 쿠키 훔치기)
II. 또는 3 번째 선택은 쿠키 auth_token
을 사용하여 remember_token
필드에 대한 사용자 테이블을 확인하는 것이므로 다른 사람이 쿠키를 훔쳐 해당 사용자로 가장 할 수 있습니까?
좋은 가이드 –
인데 질문에 대한 간단한 답변이 있으십니까? –