У кого-нибудь есть рекомендации по "лучшим практикам" для Rails и сеансов? Тип сеанса по умолчанию для Rails 3 по-прежнему является CookieStore, не так ли? Я использовал SqlSessionStore некоторое время, и он работал хорошо, но я могу отойти от этого в пользу CookieStore.
Разве не рекомендуется использовать CookieStore для получения конфиденциальной информации, даже с засоленной информацией или лучше хранить в БД?
Используйте базу данных для сеансов, а не для файлов cookie, которые не должны использоваться для хранения конфиденциальной информации.
Создайте таблицу сеанса с помощью
rake db:sessions:create
Запустите миграцию
rake db:migrate
Убедитесь, что вы также указали рельсы на использование ActiveRecord для управления своими сеансами.
конфигурации/Инициализаторы/session_store.rb:
Rails.application.config.session_store :active_record_store
конфиг/environment.rb:
config.action_controller.session_store = :active_record_store
В Rails 4, CookieStore файлы cookie зашифрованы и подписаны по умолчанию:
Если у вас установлен только
secret_token, ваши файлы cookie будут подписаны, но не зашифрованы. Это означает, что пользователь не может изменить свойuser_id, не зная вашего app секретный ключ, но может легко прочитать ихuser_id. Это было по умолчанию для приложений Rails 3.Если у вас установлен
secret_key_base, ваши файлы cookie будут зашифрованы. Это шаг дальше, чем подписанные файлы cookie в том, что зашифрованные файлы cookie не могут быть изменены или читать пользователи. Это по умолчанию начинается с Rails 4.Если у вас установлены как
secret_token, так иsecret_key_base, ваши файлы cookie будут быть зашифрованным, а подписанные файлы cookie, созданные Rails 3, будут прозрачно читать и шифровать, чтобы обеспечить плавный путь обновления.
Этот ответ теперь устарел в отношении Rails 4. Активная запись Журнал сеансов устарел и удален из Rails, поэтому следующее генераторы больше не будут работать:
rake db:sessions:create
rails generate session_migration
Это было указано в этом ответе. Причина, по которой активная запись Хранилище сеансов было устаревшим, потому что чтение/запись в базу данных не хорошо, когда у вас есть большое количество пользователей, обращающихся к вашему приложению, так как изложенное в это сообщение в блоге:
... одна важная проблема с хранилищем сеансов Active Record заключается в том, что это не масштабируемый. Это создает ненужную нагрузку на вашу базу данных. Как только ваша заявка получает большой объем трафика, таблица базы данных сеансов непрерывно бомбардируются операциями чтения/записи.
С Rails 4 хранилище сеансов Active Record удаляется из ядра и теперь устарела.
Если вы все еще хотите использовать хранилище сеансов Active Record, он по-прежнему доступен как драгоценный камень.
Для более современных практических рекомендаций для сеансов Ruby on Rails я советую вам проверьте последние версии Руководство по безопасности Ruby on Rails.
Я не верю, что все изменилось в том, как кто-либо на любой платформе должен обрабатывать сеансы на основе файлов cookie. Будьте скептически относитесь ко всему, что выходит за пределы контроля сервера (файлы cookie, сообщения в форме и т.д.). Это общий принцип веб-разработки.
Насколько мне известно, шифрование не изменилось на этом фронте.
Что-то, о чем следует помнить в хранилище cookie, является ограничением объема данных и полученной информацией о том, что эти данные будут отправляться по проводам в каждом запросе, где, поскольку хранилище базы данных передает только идентификатор и данные на сервере.
FWIW, рельсы 3.1 предлагают запуск
rails generate session_migration
Однако это порождает то же самое перемещение, что и
rake db:sessions:create
По умолчанию значения Rails мне очень нравятся. CookieStore работает быстро и должен охватывать большинство случаев использования. Конечно, вы ограничены 4kb, и ваши данные будут видны пользователю, но путь Rails должен использовать только сеанс для таких вещей, как целые идентификаторы и базовые строковые значения. Если вы пытаетесь хранить объекты или конфиденциальную информацию в сеансе вы, вероятно, делаете это неправильно.