这绝对有效,但你可以改进它。 user_id不是您想直接授予用户控制权的内容。特别是如果你的应用程序是新的,并且你的用户ID是连续的,那么对于有人操纵这个号码并查看其他帐户将是非常容易的。
一种解决方法是在名为“token”的用户记录中创建一个字符串字段。以及在该字段中添加索引。
class AddTokenToUsers < ActiveRecord::Migration
def change
add_column :users, :token, :string
add_index :users, :token
end
end
当您创建新用户时,为他们生成一个长的随机标记。
require 'digest/md5'
class User < ActiveRecord::Base
before_create :generate_token
# your other code here...
private
def generate_token
self.token = Digest::MD5.hexdigest(username + rand.to_s)
end
end
该令牌将是一个32个字符的随机十六进制字符串。对于这样的事情,MD5散列算法非常快速,并且散列用户名和随机值使得几乎不可能猜测某人的令牌。
然后,您可以直接在会话中存储令牌,而不是直接存储user_id,并且猜测随机令牌的难度会更大。您可以通过定期更新令牌来更进一步。但是,大多数身份验证系统都会以安全的方式为您处理会话令牌。