【问题标题】:invalidate a cookie on password change更改密码时使 cookie 无效
【发布时间】:2010-07-06 23:31:09
【问题描述】:

我使用 cookie 来管理我的 Rails 应用程序中的用户会话。我最近发现,当用户更改密码时,cookie 并没有像预期的那样失效。如您所知,这可能对安全构成巨大威胁。我应该如何处理这个问题?一旦用户更改密码,我想使 cookie 过期或失效。我如何在 Rails 中做到这一点。谢谢。

【问题讨论】:

    标签: ruby-on-rails security authentication session cookies


    【解决方案1】:

    像注销一样销毁会话;并要求用户重新登录。

    http://api.rubyonrails.org/classes/ActionController/Base.html#M000474

    【讨论】:

    • 这不会阻止已经获得用户 cookie 访问权限但仍从另一台计算机登录的攻击者。即使用户更改了密码,由于旧的cookie,攻击者仍然会登录。
    • 你不应该仅仅依赖cookies;每个会话都应该有一个服务器端会话令牌,该令牌可以被销毁/重置,从而使客户端 cookie 无用。
    猜你喜欢
    • 2015-10-23
    • 1970-01-01
    • 2015-01-02
    • 2021-11-29
    • 1970-01-01
    • 2012-07-09
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多