我想知道会话和加密Cookie 之间是否存在任何差异(配置为会话cookie会过期)。
它们不是完全相同的东西吗?或者Rails为会话提供额外的安全性?
答案 0 :(得分:19)
会话比cookie更高级别。会话是仅为一个用户会话持久存在的变量集合。会话可以存储在cookie中,数据库中,也可以存储在会话处理插件选择存储它们的任何位置。 Cookie现在是会话存储在现代版Rails中的默认位置。注意:当会话存储在cookie之外时,cookie中存储了一个ID,因此Rails可以在存储的任何地方查找会话数据(例如数据库)。
现在,让我继续讨论我认为您想要问的内容:Rails的默认会话存储(使用未加密的cookie)和Phusion's EncryptedCookieStore或任何其他加密cookie之间的区别是什么会话存储实现?你为什么关心加密会话cookie?
根据http://agilewebdevelopment.com/plugins/encrypted_cookie_store,这里的区别在于:“ EncryptedCookieStore类似于Ruby on Rails的CookieStore(它将会话数据保存在cookie中),但是它使用加密,这样人们就不能读取会话数据中的内容。这样就可以在会话中存储敏感数据。“。
请注意,有多个不同的EncryptedCookieStore。 AFAIK,你想使用Phusion's EncryptedCookieStore而不是ThinkRelevance的旧版EncryptedCookieStore。
如果您不加密cookie,那么任何有权访问cookie的人都可以轻松读取会话数据(通过网络嗅探器,对客户端的磁盘访问,XSS等)。有关会话变量如何存储到的详细信息cookies(以及安全隐患),请看这里:http://www.neeraj.name/2009/05/04/how-cookie-stores-session-data-in-rails.html。
请注意,默认(非加密)cookie存储是防篡改的(意味着Rails会拒绝恶意更改的cookie)。因此,如果您担心的是阻止人们更改您的Cookie(但是如果他们看到您的Cookie,则不在乎)那么您可以使用默认值。