rails session cookie

最新推荐文章于 2021-12-14 17:07:04 发布
最新推荐文章于 2021-12-14 17:07:04 发布
阅读量540 收藏 1
点赞数
Published on 2014-02-09

session

为了理解session,我想像了一个场景:

老年痴呆患者是没有记忆力的,我告诉他我的名字,并热情的和他打招呼。可第二次会话时,他早已忘记我的名字。

HTTP 协议也是如此,没有状态的,多个请求之间毫无关联。

Session的用途

session 是一串 Hash,保存在浏览器的Cookie文件中。

  1. 把 user id 放到 session 中。
  2. 每次浏览器发起请求时捎带着cookie信息。
  3. 服务器获取 session 中的user id
  4. 服务器根据 user id 把当前用户拎出来。

禁忌

  1. 不要在session中保存对象。

    cookie 只能保存4kB的信息,一个对象就可能把它撑爆了。

  2. 不要在session中保存重要的数据,因为:

    1. 用户关闭浏览器或清空cookie后,这些重要的数据会丢失。

    1. session在客户端保存,用户可以读取这些信息。


cookie

  1. Cookie 中的值都是以key: value的形式展示的。
  2. 明文展示,在客户端一览无余。
  1. 客户端发起每次请求时,会捎带着cookie。(Request)
  2. 若Cookie有变,服务器通过set-cookie命令重新设置客户端的Cookie。(Response)

Session 寄人篱下

session信息以键值对的形式保存在cookie中。Rails session 命名习惯是_app_session.

假如我的项目名为food,则session key的名字就是_food_session

cookie

Session 中的内容

session字符串可以拆分为两部分:

cookie

  1. 正文

    已被base64编码,很轻松就可还原为一个hash。

     1.9.3p448 :001 > require 'base64'
 => true

 1.9.3p448 :001 > str = "BAhJIgGDeyJzZXNzaW9uX2lkIj0+IjAwZDllY2FlYWZmZGEyMzIzMjRhZmZh\nZThjMDYzMzcwYWJiMDgiLCAidXNlcl9pZCIgPT4gIjEzMTM0IiwgIl9jc3Jm\nX3Rva2VuIj0+ImNlbzRqMm9Jck9TM2dMRFBzZ3UzY0VISGV1WnlIczE2NlNp\nIn0GOgZFVA==\n"

 => "BAhJIgGDeyJzZXNzaW9uX2lkIj0+IjAwZDllY2FlYWZmZGEyMzIzMjRhZmZh\nZThjMDYzMzcwYWJiMDgiLCAidXNlcl9pZCIgPT4gIjEzMTM0IiwgIl9jc3Jm\nX3Rva2VuIj0+ImNlbzRqMm9Jck9TM2dMRFBzZ3UzY0VISGV1WnlIczE2NlNp\nIn0GOgZFVA==\n"

 1.9.3p448 :002 > new_str = Base64.decode64(str)

 => "\x04\bI\"\x01\x83{\"session_id\"=>\"00d9ecaeaffda232324affae8c063370abb08\", \"user_id\" => \"13134\", \"_csrf_token\"=>\"ceo4j2oIrOS3gLDPsgu3cEHHeuZyHs166Si\"}\x06:\x06ET" 

 1.9.3p448 :003 > Marshal.load(new_str)

 => {"session_id"=>"00d9ecaeaffda232324affae8c063370abb08", "user_id" => "13134", "_csrf_token"=>"ceo4j2oIrOS3gLDPsgu3cEHHeuZyHs166Si"}

  2. digest

    正文只是简单的编码,并未加密的。如果用户(user_id = 13134)篡改了正文(user_id = 2),就有访问其他用户信息的风险。

    为了防止cookie被篡改,每一个session字符串的尾巴上都带着一个服务器生成的digest。

    若用户的content与digest不匹配,服务器就知道这个cookie是伪造的。

  3. digest如何生成

    在Rails中,secret保存在 config/initializers/secret_token.rb 文件中。

    YourApp::Application.config.secret_key_base = '49d3f3de9ed86c74b94ad6bd0...'

    digest生成规则:content + secret token => digest

    这个secret token是机密文件,一旦被坏人获取,就可以轻松的伪造cookie(很多菜鸟开源代码时往往犯这个低级错误)。


qwbtc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rails-session_cookie:一个用于获取原始Rails会话Cookie的机架应用
05-12
Rails :: SessionCookie 快速,松散耦合的请求有关经过Cookie验证的应用程序的规范。 为什么 可能,您可能已经看到了很多像这样的代码: # config/initializers/session_store.rb Rails . application . config . session_store :cookie_store # authenticating method (maybe Devise or whatever) session [ :current_user_id ] = current_user . id # somewhere in helper for request specs def login ( current_user ) post '/login' , auth_data ( current_user ) end # no
plug_rails_cookie_session_store:与Rails兼容的插件会话存储
02-06
plug_rails_cookie_session_store:与Rails兼容的插件会话存储
Agile Web Development with Rails 3nd Edition学习笔记-把Sessions放进数据库
The Sea of Linux
04-21 79
depot在线商店需要一个能保存用户选购的各种各样的商品的地方,而对于Web程序而言,每个页面和请求的生命周期都是瞬间了,彼此之间没有任何的状态记录。当用户在一个页面选择了一样商品,再去另一个页面选择另一样商品的时候,上一个页面的数据已经荡然无存了。就像狗熊掰苞米,掰一个放在胳肢窝下,再掰一个放在胳肢窝下,之前的那个就没有了。(哈哈!这个比喻也许不那么恰当。 :wink: ) 那么,我们怎么保存...
Rails3 session应用
Eric的小屋
11-06 170
开发时遇到需要带参数的页面跳转。可以使用httpget方法直接跟参数的形式去完成这个小问题,但是看着整个url很长很杂,所以想到了session来解决这个问题。在rails3session用法不难,难的是要控制session的有效使用时间、存储量大小等后续问题。 1.使用范围 controller和view可用2.保存的数据 ◇一般保存会话进行的必要数据,如保存登录用户的的ID:...
ruby on railssession & cookies整理
tompiking的博客
08-10 4324
一、简介 railssession默认存放在cookies,会话建立时web程序会把cookies发送给客户端浏览器,之后每次客户端提交请求时浏览器都会把cookie的数据一起提交给服务器,用于验证。一般建议将session存到数据库,原因是: railscookie保存数据大小有限制,一般不能超过4k,否则可能出错。 大型的web服务器一般为了负载平衡会使用几台
Rails Cookiesession使用
rocLv的专栏
06-22 2883
Rails通过cookies方法来操作cookie,这和session的操作有点类似 class CommentsController < ApplicationController def new # 假如cookie有评论者的姓名,则自动调用 @comment = Comment.new(author: cookies[:commenter_name]) end
关于rails cookies和session
雷雨路上
08-03 211
 可以在controller与view直接通过sessioncookies访问,在model无法访问。 cookie会随着浏览器每次发起的请求(request)传给服务器进行读取,而服务器则会在应答(response)携带cookie写在本机上。 因此,cookie是存储在本地的。而且由于cookie的这种性质,cookie必须在赋值后的下一次请求才能“生效” Session ...
rails 使用cookie
li_001的博客
04-08 1037
添加 checkbox 的代码到 login.html.erb 的提交按钮上方,添加<dl class="form remember-me"> <%= check_box_tag :remember_me, 1, params[:remember_me] %> <%= label_tag :remember_me %> </dl>user.css.scss 要追加这些内容.remembe
Rails Cookies与Session操作汇总
chentaohere的专栏
12-14 124
与 Java 和c#不同,Rails 操作 sessioncookies 非常简单,可以在 controller 与 view 直接访问,model 除外,极大地方便了开发 Session #存信息session[:current_user_id] = user.id #取信息session[:current_user_id] #删除信息session[:current_user_id...
【Ruby on Railscookie 的安全属性
里克的自习室
12-14 2273
这是一篇老知识学习。自从2016年开始从事网络安全的项目,虽说工作内容大部分和应用层安全相关,反倒是很少关注的应用层技术了。今天补一下知识。本文主要讲解Rails框架cookie设置,和其他安全相关内容。
Ruby on Rails 使用 Cookie 的方法
深圳大力
02-02 470
代码] oschina_hello.rb 01 class HelloController 02       def set_cookie 03             cookies[:my_name] = "AAAA" 04
authie:通过数据库会话存储提高Ruby on Rails应用程序的用户会话安全性
02-05
需要说明的是:尽管默认情况下,Rails会话cookie是加密的,但是如果有人要“窃取”已通过身份验证的用户的加密cookie,则没有任何方法可以使它们无效。 这可能是使用MITM攻击窃取的,或者只是在他们没有喝咖啡的...
node-cookie-derail:解码并可选择验证未加密的 Ruby on Rails cookie 的签名
06-01
饼干出轨 解码并可选择验证未加密的 Ruby on Rails cookie 的签名。 对此的替代实现要求您将 Rails 应用程序端的默认序列化格式更改为类似 JSON 的格式 - 这不是,而是使用用 javascript 编写的基本(哈希/数组/字符...
通信原理期末考试试题及答案2份.doc
04-18
通信原理期末考试试题及答案2份.doc
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
基于ssm+vue学生学籍管理系统源码数据库文档.zip
04-18
基于ssm+vue学生学籍管理系统源码数据库文档.zip
工作汇报 年终总结45.pptx
最新发布
04-18
引言 年度工作回顾 系统进展与亮点 技术创新与应用 市场反馈与用户评价 存在问题与挑战 未来展望与计划 结束语与感谢 一、引言 简要介绍智能家居系统的重要性和发展趋势 回顾本年度的工作目标和重点 二、年度工作回顾 系统建设与维护 完成的项目与里程碑 系统稳定性与可靠性提升 团队建设与培训 团队成员构成与职责 培训与技能提升活动 合作伙伴与资源整合 与供应商、合作伙伴的合作情况 资源整合与利用 三、系统进展与亮点 功能扩展与优化 新增功能介绍与效果评估 现有功能的优化与改进 用户体验提升 界面设计与交互优化 用户反馈与改进措施 四、技术创新与应用 物联网技术的应用 传感器与通信技术的升级 大数据分析与应用 智能家居的智能化管理 自动化控制与节能策略 安全防护与预警系统 五、市场反馈与用户评价 市场反馈分析 市场需求与竞争态势 市场占有率与增长趋势 用户评价总结 用户满意度调查结果
2024年带式输送机市场分析报告.pptx
04-18
行业分析报告
rails 设置session过期时间
05-13
Rails ,可以通过配置 `config/initializers/session_store.rb` 文件来设置 session 的过期时间。 例如,如果要设置 session 过期时间为 30 分钟,可以在文件添加以下代码: ```ruby Rails.application.config.session_store :cookie_store, key: '_myapp_session', expire_after: 30.minutes ``` 这里的 `expire_after` 参数表示 session 过期时间,可以使用 ActiveSupport 提供的时间格式,如 `30.minutes` 表示 30 分钟。 注意,这里使用的是 cookie 存储方式,如果使用其他存储方式,如数据库存储,需要根据具体实现方式进行设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值