我有一个关于Rails如何处理cookie的问题 加密/解密。
我在config / environment.rb
中有这个 config.action_controller.session = {
:session_key => [some key],
:secret => [some secret]
}
这在config / environment / production.rb等人中:
ActionController::Base.session_options[:session_domain] = [some
domain]
到目前为止,非常好 - 只要我的所有Rails应用程序都具有相同的功能 session_key和secret,并且在同一个域中,它们都可以使用 那个饼干。
然而,一位同事现在有一个JSP应用程序(在同一个域上), 他想用它来阅读我设定的饼干。
因此,给定一个秘密和加密的cookie值,我们将如何解密 它来获取该cookie的内容?
(文档似乎表明这是默认的单向SHA1加密 - http://caboo.se/doc/classes/CGI/Session/CookieStore.html - 但是 那么我的Rails应用程序将如何读取cookie的内容 这是单向加密的吗?)
提前感谢任何提示/指示/见解,
乔
答案 0 :(得分:17)
如果直接从存储在应用程序数据库中的会话数据中提取session.data字段(如果在environment.rb文件中使用active_record_store)
config.action_controller.session_store = :active_record_store
...这是你解码它并返回哈希的方法:
Marshal.load(ActiveSupport::Base64.decode64(@session.data))
...或在Rails> = 3.2(感谢Chuck Vose)
Marshal.load(Base64.decode64(@session.data))
根本没有加密。
答案 1 :(得分:12)
Rails使用HMAC-SHA1加密cookie数据,这与您怀疑的单向SHA1加密不同(请参阅the Wikipedia article on HMAC获取解释)。加密由ActiveSupport::MessageVerifier类完成(源代码相当可读)。以下是基于测试Rails应用程序的示例:
secret = 'b6ff5a9c3c97bf89afe9a72e6667bafe855390e8570d46e16e9760f6394' +
'4ab05577b211ec2f43f6c970441518f0241775499bde055078f754c33b62f68ba27ca'
cookie = "_test_session=BAh7CCIYdXNlcl9jcmVkZW50aWFsc19pZGkGIhV1c2VyX2NyZW" +
"RlbnRpYWxzIgGAMzBlODkxZDQ2MWZhNjFkMDFmNzczMmJjNDdjMjIwZGFjMTY2NWEwNDMwZ" +
"DVjMmUxOWY5MDFjMjQ5NWQ4OTM1OGZlMzE3NzRiZTFiZjM1ZTVlZDY2ZGUzYTkwOWZjZTgw" +
"NTFlNGUxZWI0MTUzYTRjODZiMGZmMzM3NzliM2U3YzI6D3Nlc3Npb25faWQiJTgxNzk0Yjd" +
"kN2IxYzRjMDE0M2QwOTk5NTVjZjUwZTVm--25c8f3222ab1be9f2394e2795a9f2557b06d0a92"
session = cookie.split('=').last
verifier = ActiveSupport::MessageVerifier.new(secret, 'SHA1')
verifier.verify(session)
这应该返回您期望的会话哈希。要在Java中实现这一点,您的同事将不得不复制ActiveSupport::MessageVerifier#verify方法。源代码位于/usr/lib/ruby/gems/1.8/gems的gems目录(我的系统上为activesupport-2.3.5/lib/active_support/message_verifier.rb)。
答案 2 :(得分:9)
以下是如何解密Rails 4中的会话cookie
def decrypt_session_cookie(cookie)
cookie = CGI.unescape(cookie)
config = Rails.application.config
encrypted_cookie_salt = config.action_dispatch.encrypted_cookie_salt # "encrypted cookie" by default
encrypted_signed_cookie_salt = config.action_dispatch.encrypted_signed_cookie_salt # "signed encrypted cookie" by default
key_generator = ActiveSupport::KeyGenerator.new(config.secret_key_base, iterations: 1000)
secret = key_generator.generate_key(encrypted_cookie_salt)
sign_secret = key_generator.generate_key(encrypted_signed_cookie_salt)
encryptor = ActiveSupport::MessageEncryptor.new(secret, sign_secret)
encryptor.decrypt_and_verify(cookie)
end
http://big-elephants.com/2014-01/handling-rails-4-sessions-with-go/
答案 3 :(得分:8)
默认情况下,Rails(版本4之前)不会加密会话cookie,它只会签名。要加密它们,您需要执行以下操作:
ActionController::Base.session_store = EncryptedCookieStore
有多个插件可提供这种加密功能。
因此,如果您没有专门使用加密存储,那么所有Java代码需要做的就是验证cookie签名并解码cookie。正如Alex在他的回答中所说,你需要复制ActiveSupport::MessageVerifier#verify的功能,并与Java应用程序共享密钥。这都会验证和解码cookie。
如果您不想验证签名(我不建议),您可以使用Midwire的Base64解码方法来查看会话哈希。在Ruby中,这是:
Marshal.load(ActiveSupport::Base64.decode64(the_cookie_value))
我知道这是旧的,但希望这有助于某人!
(更新:问题与Rails有关3.从Rails 4开始,会话cookie默认加密。)
答案 4 :(得分:1)
我编写了一个Ruby gem来处理由Rails应用程序管理的cookie。阅读其源代码,您可以了解它的工作原理,并可能将其移植到Java,以便您的JSP应用程序可以使用它:
https://github.com/rosenfeld/rails_compatible_cookies_utils
这是一个包含大约150行代码的单个文件,它还处理仅签名的cookie值,并负责签名/加密和验证/解密,而您似乎只关心解密。这是解密的方法:
值得一提的是,除了密钥和秘密之外,您还需要知道使用哪个序列化程序。它曾经是Marshal,但似乎新生成的应用程序的默认值现在是JSON。如果使用Marshal,那么将该代码转换为Java可能会很棘手,因为您必须找到一个实现Ruby的Marshal #load的库。