使用 Rails 存储加密的 cookie

Question

我需要在 Rails 的 cookie 中存储一小段数据（少于 10 个字符），并且我需要它是安全的。我不希望任何人能够读取该数据或注入他们自己的数据（因为这会使应用程序面临多种攻击）。我认为加密 cookie 的内容是可行的方法（我也应该签名吗？）。最好的方法是什么？

现在我正在这样做，这看起来很安全，但是对于比我更了解安全的人来说，很多事情看起来很安全，然后发现它并不真正安全。

我是这样保存秘密的：

encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token)
cookies[:secret] = {
  :value => encryptor.encrypt(secret),
  :domain => "example.com",
  :secure => !(Rails.env.test? || Rails.env.development?)
}

然后我是这样读的：

encryptor = ActiveSupport::MessageEncryptor.new(Example::Application.config.secret_token)
secret = encryptor.decrypt(cookies[:secret])

这样安全吗？有更好的方法吗？

更新：我知道 Rails 的 session 以及它的安全性，通过签署 cookie 和可选地存储 session 服务器端的内容，我确实使用 session 是什么为了。但我的问题是关于存储 cookie，这是我在会话中不想要的一条信息，但我仍然需要它是安全的。

Answer 1

• 设置安全 cookie

  cookies.signed[:secret] = {
   :value => "foo bar",
   :domain => "example.com",
   :secure => !(Rails.env.test? || Rails.env.development?)
  }
  

• 访问 cookie

  cookies.signed[:secret] # returns "foo bar"
  

cookie 使用ActionController::Base.cookie_verifier_secret 签名。您可以在初始化文件中设置cookie_verifier_secret。

Answer 2

正如 KandadaBoggu 所说，看起来您想要的是一个会话变量，而会话变量默认情况下是加密的并存储在 cookie 中。但是，如果您查看 config/initializers/session_store.rb 的内容，您会发现类似以下内容：

 # Be sure to restart your server when you modify this file.
 MyRailsApp::Application.config.session_store :cookie_store, :key => '_my_rails_app_session'

 # Use the database for sessions instead of the cookie-based default,
 # which shouldn't be used to store highly confidential information
 # (create the session table with "rails generate session_migration")
 # MyRailsApp::Application.config.session_store :active_record_store

这向我建议您应该将数据库用于会话，而不是基于 cookie 的默认值，后者不应用于存储高度机密的信息。预先准备好的迁移使一切都非常容易设置，因此这样做的开销很小，一旦完成，如果您需要在以后添加一条新的秘密信息，开销基本上为零！

Answer 3

我重新发布JacobM 的答案，他删除了，因为这是正确的答案，并为我指明了正确的方向。如果他取消删除，我会删除这个并选择他作为最佳答案。

首先，如果你使用encrypt_and_verify 而不是encrypt 它会 为您签署 cookie。

但是，在安全性方面，我总是更喜欢依靠 已经公开审查过的解决方案，而不是我自己的。 一个例子是encrypted-cookies gem。