Rails 登录重置会话

2024-02-01

最佳实践是在用户成功登录时调用reset_session并在用户注销时再次调用它吗？这样做有任何副作用/问题吗？

The Ruby on Rails 安全指南 http://guides.rubyonrails.org/security.html#sessions建议在身份验证成功后重置会话 ID，以防止会话固定 https://www.owasp.org/index.php/Session_fixation漏洞。本质上，会话固定涉及攻击者设置您的会话 id（或者当您点击登录页面时能够知道 id 的其他方法），并且在您成功进行身份验证后，攻击者使用以下方法为自己的浏览器设置 cookie您的会话 ID，随后将被验证为您。身份验证成功后重置会话 ID 可以完全缓解此类漏洞。创建操作中的一些示例代码可能如下所示：

def create
  user =  User.find_by_email(params[:email])
  if user && user.authenticate(params[:password])
    old_values = session.to_hash
    reset_session
    session.update old_values.except('session_id')
    session[:athlete_id] = athlete.id
    redirect_to root_url, notice: "Authentication successful!"
  else
    flash.now.alert = "Invalid credentials"
    render "new"
  end
end

请注意，如果您希望保留任何数据，请务必在重置会话之前复制会话。

至于在注销时调用reset_session，是的，这也是最佳实践。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Rails 登录重置会话的相关文章

如何在 JS Rails 响应中包含 HTML？

我有一个响应 HTML 和 JS AJAX 查询的 FooController app controllers foo controller rb class FooController lt ApplicationController l
SSLContext 初始化

我正在看JSSE参考指南我需要获取一个实例SSLContext为了创建一个SSLEngine 所以我可以使用它Netty以启用安全性获取实例SSLContext I use SSLContext getInstance 我看到该方法被重
带有附加参数的redirect_to

我是一个菜鸟 redirect to users url notice Succeed p p 然后我添加一个message它失败了 redirect to users url notice Succeed message test p p
Python PAM 模块的安全问题？

我有兴趣编写一个 PAM 模块该模块将利用流行的 Unix 登录身份验证机制我过去的大部分编程经验都是使用 Python 进行的并且我正在交互的系统已经有一个 Python API 我用谷歌搜索发现pam python http pa
Rails Capistrano 3 - 如何将 production.log 文件共享到 Capistrano 的共享文件夹中？

我正在使用 Capistrano 3 与我的 Rails 应用程序一起部署问题是每次我将应用程序部署到服务器时 log development log 文件都会重置我听说可以将 production log 文件放入共享文件夹中并在每
使用 Vaadin Flow Web 应用程序处理全局所有布局和“路由”URL 的登录

Vaadin 8 在 Vaadin 8 中在我的UI子类我通过检查用户的会话是否带有一个属性来处理登录该属性表明他们是否已成功登录如果没有的话我的UI子类显示登录布局而不是带有导航选项的其他内容例如菜单栏和在该 UI 内切换布局
有时您可能需要重新启动 Webrick 才能看到所做的更改，这是否正确？

我听 Kevin Skoglund lynda com 说养成在开发过程中频繁重新启动 Webrick 的习惯是一个很好的习惯虽然通常您不需要重新启动 Webrick 来查看更改但他暗示在某些特殊情况下可能需要这样做有谁知道这些情况
在没有默认 java.policy 文件的情况下运行 Java 安全管理器

我不想修改 java 主目录中的任何内容但是我担心有时我的默认 java policy 文件可能过于宽松当我使用以下命令运行 java 时有没有办法使用指定的策略文件作为唯一的策略文件 Djava security manager
Rails 5：验证复选框的接受

我有一个带有一些嵌套字段的注册表单在该表单中我添加了一个服务条款的复选框我正在尝试验证复选框何时被选中如果没有则返回错误 validates acceptance of agreement allow nil gt true acc
Rails 从 OrdersController 更新用户模型的属性

这是我的代码订单控制器类 def create order Order new params order if order purchase work GATEWAY store credit card options result wo
Android - 在sqlite数据库中存储敏感数据

我需要将敏感数据存储在 Android 应用程序的 sqlite 数据库中我如何确定这些数据非常安全我知道我可以使用密钥加密数据但是我将该密钥存储在哪里我也不想要求用户填写密钥我只是希望它能够自行工作因为我害怕逆向工程所以我也
为什么||和或在 Rails 中的行为有所不同？ [复制]

这个问题在这里已经有答案了可能的重复 i true 和 false 在 Ruby 中是真的吗 https stackoverflow com questions 2802494 i true and false in ruby is tr
如何使用 Ruby on Rails 3 检查 HTTP 请求的“Content-Length”字段？

我正在使用 Ruby on Rails 3 在我的视图文件中我有以下代码为了避免服务器过载我会在服务器接收上传文件之前检查上传文件的大小这是因为按下表单的提交按钮服务器会先完整接收文件然后再检查文件我知道一个HTTP 请求有标
使用redirect_to :create 动作

我正在尝试重定向到另一个控制器的创建方法但是我找不到将方法设置为 POST 的方法这将导致调用索引方法使用 method gt post只是创建一个新参数但不会更改 http 方法有什么想法如何重定向到创建方法吗您无法在重定向
我必须使用什么加密程序来通过 HTTP 协议发送加密的“电子邮件”和“密码”值？

我正在使用 Ruby on Rails 3 我想通过 HTTP 协议发送电子邮件和密码值我知道我不应该但我需要我需要从发送用户凭据我的客户申请到一个我的服务应用我可以使用公共和私人RSA密钥来实现这一点但如果是这样我不
Rails - 用于集合集的单选按钮

我有以下输出选择框 br 替代输出单选按钮的 Rails 方法是什么对于单选按钮您必须自行迭代并输出每个单选按钮及其标签事实上这真的很容易
有没有办法使用 Rspec/Capybara/Selenium 将 javascript console.errors 打印到终端？

当我运行 rspec 时是否可以让 capybara selenium 向 rspec 报告任何 javascript console errors 和其他异常我有一大堆测试失败但当我手动测试它时我的应用程序正在运行如果不知道仅在
在rails生成脚手架中跳过JSON格式

当您使用类似命令生成 Rails 脚手架时rails g scaffold Thing有什么办法可以避免变得烦人吗 respond to do format format html index html erb format json re
Rails 3.1 中何时将图像放入 app/assets 以及何时放入 /public/images？

我仍然不太明白在这种情况下在 Rails 3 1 中将图像放在哪里图像被处理例如通过回形针或蜻蜓并存储在文件夹中不使用像 s3 这样的外部服务 f e 在开发中当我只有图像时我将在样式表中使用它例如背景图标 AppSto
rspec 中的模拟方法链

有一系列方法可以获得user目的我试图模拟以下内容以返回user in my Factory Girl current user AuthorizeApiRequest call request headers result 我可以模拟该

随机推荐

MATLAB - 具有布尔值的棘手颂歌系统

编辑感谢您的支持现在我终于添加了图像添加了完整的 m file 尽管我认为没有必要代码的关键是 xp 2 x 2 gt X2 xp 3 gt 0 xp 3 x 3 gt X3 xp 2 gt 0 完整代码 function xp u
Guice的injectMembers方法

我了解使用构造函数注入相对于 setter 注入的好处但在某些情况下我必须坚持仅使用基于 setter 的注入我的问题是如何使用注入所有基于设置器的注入类的成员injector injectMembers method I am cal
getGenericParameterTypes 和 getParameterTypes 之间的区别

我正在尝试了解之间的区别getGenericParameterTypes and getParameterTypes方法我知道有人回来了Class 和另一个Type 但真正的区别是什么考虑方法 public void method1 T
Git克隆存储库错误：RPC失败；结果=56，HTTP 代码=200

我已经使用 Git 存储库几年了但仍然感觉像个新手非常欢迎帮助它开始克隆一段时间 remote Counting objects 22394 br remote Compressing objects 100 12314 12314
iconv 返回奇怪的结果

我正在研究一种方法来解决在 PHP 中创建帐户的自动脚本中使用特殊字符的问题由于电子邮件地址和其他地方不需要特殊字符因此我试图删除它们但在将它们提供给脚本之前我无法删除它们因为用户名必须正确显示给其他用户例子 J rgen G t
scala 类中属性的可见性

我通过以下方式在类的构造函数中定义了一个属性 class Step val message String 当我尝试访问时message从 Java 代码中获取可见性错误的值为什么如果添加 scala reflect BeanProper
块递归和破坏保留周期

为了更好地说明问题请考虑以下块递归的简化形式 block void next int int index if index 3 return int i index next i next 0 XCode 启用 ARC 警告在此块中强烈
在 TypeScript 中输入 gql-tag

我正在使用 GraphQL 并且希望严格输入gql 是否有可能使result变量的形状ResultData即使用最新版本的 TypeScript 它只与输入有关与运行时无关 interface Data one string two nu
iOS 中的应用内购买测试

我在用Xcode 8 0 斯威夫特 3 0并在我的 iPad 上进行应用程序购买测试我想使用沙盒用户测试应用程序购买设备设置中没有添加账户问题是我没有获取产品列表来响应产品请求代码请看一下我的代码 let PRODUCT ID MY
使用大括号括起来的初始值设定项列表初始化结构时出错

struct CLICKABLE int x int y BITMAP alt BITMAP bitmap CLICKABLE alt 0 CLICKABLE input 1 2 0 0 这段代码给我以下错误无法从大括号括起来的初始值设定
将表格放置在浮动图像旁边

我想将表格放置在浮动图像旁边同时保持表格宽度为 100 并且不会溢出父元素的宽度我尝试了各种技术但尚未达到我想要的结果我的意思是 http jsfiddle net AX3UR 3 http jsfiddle net AX3UR 3
查询过滤器表达式树的解析器

我正在寻找一个可以对查询过滤器进行操作的解析器然而我不太清楚这些术语所以事实证明这是一项艰苦的工作我希望有人能帮助我我读过有关递归下降解析器的内容但我想知道这些是否适用于成熟的语言解析器而不是我正在寻找的逻辑表达式评估理
Apple Vision 框架 – 从图像中提取文本

我正在使用 iOS 11 的 Vision 框架来检测图像上的文本文本检测成功但是我们如何获取检测到的文本呢识别图像中的文本 VNRecognizeTextRequest适用于 iOS 13 0 和 macOS 10 15 及更高版本
如何找到 3D 向量的哈希值？

我正在尝试使用固定网格大小的方法执行宽相碰撞检测因此对于每个实体的位置 x y z 每个浮点数类型我需要找到实体位于哪个单元格中然后我打算将所有单元格存储在哈希表中然后迭代报告如果有碰撞所以这就是我正在做的事情网格单元的
即使已安装，Plotly.io 也看不到 psutil 包

我正在尝试执行以下代码 import numpy as np import pandas as pd import matplotlib pyplot as plt import matplotlib matplotlib inline i
设置图例/图案与堆叠条形图中文本之间的空间

我有 gnuplot 数据文件 CS 31 73 18 32 20 78 22 88 1 97 1 29 0 90 2 01 FL 43 27 29 45 15 64 6 55 1 64 1 27 2 18 0 00 HB 32 44 20
ReactTestUtils.Simulate 无法通过 addEventListener 触发事件绑定？

这是示例 http jsfiddle net hulufei twr4thuh 7 http jsfiddle net hulufei twr4thuh 7 绑定时才起作用onClick在虚拟 dom 中如第 18 行但是如果我注释第
solr教程无法创建集合

我正在尝试运行 solr 6 6 0 教程运行后 bin solr start e cloud noprompt 它在端口 8983 和 7574 上启动 solr 但无法创建入门集合并出现以下错误 ERROR Failed to cr
在 Mac/iPhone 上进行联网的最有效方法？

在 Mac 和 iPhone 上建立 TCP 连接或发送 UDP 数据报的最有效方法即工作量与可读性和可维护性的最佳比率是什么我非常熟悉经典的 BSD 套接字但我现在的目标不是可移植性我只是想快速完成一个小项目我很想拥有一个 A
Rails 登录重置会话

最佳实践是在用户成功登录时调用reset session并在用户注销时再次调用它吗这样做有任何副作用问题吗 The Ruby on Rails 安全指南 http guides rubyonrails org security html

Rails 登录重置会话

Rails 登录重置会话 的相关文章

随机推荐

热门标签

Rails 登录重置会话的相关文章