我正在使用Rails 4中的令牌认证实现,其中用户的会话cookie值已加密。加密cookie中包含的是用户的会话ID(标准Rails 4会话)。
作为令牌实现的一部分,如果会话ID作为令牌的属性向浏览器公开,是否会被视为安全风险?
会话ID不会用作令牌身份验证过程的一部分。事实上,暂时忘记这与令牌认证有关。
问题是:在Rails 4应用程序中将未加密的会话ID暴露给浏览器是否存在安全风险?
我说不,这不是风险,因为恶意的用户无法恶意构建加密的会话cookie值,欺骗服务器认为他的会话ID是伪造的(至少不是无法访问应用程序的密钥)。
即使黑客伪造会话ID,我也不确定它会如何帮助他们,因为会话ID完全是随机的(根据我的理解),我们使用基于cookie的商店,所以a价值的变化对用户影响不大。
我是对的吗?