根据this question,会话可由用户编辑。但是this answer表明存储用户ID是安全的。
Cookie包含消息摘要以确保数据完整性:用户无法在不知道散列中包含的密钥的情况下更改其user_id
我的网页中嵌入了<%= debug(session) %>,Chrome浏览器工具中的会话值,我无法在会话Cookie中找到消息摘要。如果我以用户A身份登录,然后以用户B身份登录,则会话cookie将保持相同的user_id值。
那么消息摘要在哪里?还是需要一些配置?自动生成的secret_token存在于config/initializers/secret_token.rb中。它是存储在服务器的内存中,并在每个请求中散列会话值吗?
答案 0 :(得分:1)
消息摘要是cookie值的一部分。它不是您在会话中获得的数据的一部分。
如果你检查chrome中的原始cookie值,你可以看到它 - 摘要通过' - '与有效负载分开