我想在session[:user_type]
中存储当前登录用户的类型。选项包括:“admin”,“end_user”,“demo”(将来可能会添加更多用户类型)。
我想知道在Rails 3应用程序中这样做是否安全。
用户可以以某种方式将session[:user_type]
从“demo”更改为“admin”吗?
答案 0 :(得分:5)
这取决于您的会话商店 默认情况下,使用cookie作为会话存储,因此默认情况下,更改cookie的内容非常容易。
所以你可以:
答案 1 :(得分:3)