使用Rails存储加密的cookie
我需要在Rails中的cookie中存储一小段数据(少于10个字符),我需要它是安全的。 我不希望任何人能够读取该数据或注入他们自己的数据(因为这会打开应用程序进行多种攻击)。 我认为加密cookie的内容是要走的路(我应该签名吗?)。 最好的方法是什么?
现在我正在这样做,这看起来很安全,但对于那些比我更了解安全性的人而言,很多东西看起来都很安全,然后发现它并不安全。
我以这种方式保存秘密:
encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token) cookies[:secret] = { :value => encryptor.encrypt(secret), :domain => "example.com", :secure => !(Rails.env.test? || Rails.env.development?) } 然后我就这样读它:
encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token) secret = encryptor.decrypt(cookies[:secret])
那安全吗? 有没有更好的方法呢?
更新 :我了解Rails的会话及其安全性,通过签名cookie和可选地存储会话服务器端的内容,我确实使用会话来实现它的目的。 但我的问题是关于存储cookie,这是我在会话中不想要的一条信息,但我仍然需要它是安全的。
-
设置安全cookie
cookies.signed[:secret] = { :value => "foo bar", :domain => "example.com", :secure => !(Rails.env.test? || Rails.env.development?) } -
访问cookie
cookies.signed[:secret] # returns "foo bar"
使用ActionController :: Base.cookie_verifier_secret对cookie进行签名。 您可以在初始化文件中设置cookie_verifier_secret 。
正如KandadaBoggu所说,看起来你想要的是一个会话变量,会话变量默认加密并存储在cookie中。 但是,如果您查看config/initializers/session_store.rb的内容,您将找到类似以下内容的内容:
# Be sure to restart your server when you modify this file. MyRailsApp::Application.config.session_store :cookie_store, :key => '_my_rails_app_session' # Use the database for sessions instead of the cookie-based default, # which shouldn't be used to store highly confidential information # (create the session table with "rails generate session_migration") # MyRailsApp::Application.config.session_store :active_record_store
这告诉我你应该使用数据库进行会话而不是基于cookie的默认值,不应该用它来存储高度机密的信息。 预先烹饪的迁移使得一切都很容易设置,因此这样做的开销非常小,一旦完成,如果您需要在以后添加新的秘密信息,则基本上没有开销!
我重新发布JacobM的答案,他删除了,因为这是正确的答案,并指出了我正确的方向。 如果他取消删除它,我将删除这个并选择他作为最佳答案。
首先,如果您使用
encrypt_and_verify而不是encrypt,它将为您签署cookie。但是,在安全方面,我总是更愿意依赖于公开审查的解决方案,而不是依靠自己的解决方案。 一个例子是encrypted-cookies gem 。