1
我使用cookie來管理我的Rails應用中的用戶會話。我最近發現,當用戶更改密碼時,Cookie不會像預期的那樣失效。如你所知,這可能對安全構成很大的威脅。我應該如何處理這個問題?一旦用戶更改密碼,我想過期或使Cookie無效。我如何在Rails中做到這一點。謝謝。使密碼更改中的cookie無效
A
回答
0
按照您在註銷時的方式銷燬會話;並要求重新登錄用戶。
http://api.rubyonrails.org/classes/ActionController/Base.html#M000474
相關問題
- 1. 更改密碼,訪問令牌無效
- 2. 無法更改MySQL密碼
- 3. whm密碼無效
- 4. 更改密碼
- 5. 使用AWS.CognitoIdentityServiceProvider更改密碼
- 6. 使功能更改密碼
- 7. 使用JPasswordField更改密碼
- 8. 我無法更改用戶的密碼
- 9. 無法更改php類的密碼
- 10. 將密碼庫密碼從無密碼更改爲非空密碼
- 11. PKCS#12無效的密碼
- 12. 在java中更改密碼
- 13. 在PHP中更改密碼
- 14. 使用AJAX在Django中更改密碼
- 15. 密鑰庫更改密碼
- 16. 在加密的cookie中存儲密碼?
- 17. 無法更改cookie值(PHP)
- 18. paypal沙箱 - 無法更改密碼
- 19. 更改舊密碼
- 20. 更改密碼Django
- 21. 使用Flask-Security更改密碼代碼
- 22. 如何在密碼更改時使OAuth令牌失效?
- 23. facebook - 用戶更改密碼並使訪問令牌失效
- 24. dovecot passdb中的密碼無效:不是有效的MD5-CRYPT或PLAIN-MD5密碼
- 25. Symfony2.0登錄,密碼無效
- 26. ASP.NET登錄,無效密碼
- 27. 如何更改此java代碼,以便再次詢問密碼是否無效?
- 28. 更改密碼時驗證舊密碼
- 29. 更改codeigniter上的密碼
- 30. 更改密碼PHP MySQL的
這不會阻止誰已經獲得訪問某個用戶的Cookie,並且仍然從另一臺計算機登錄的攻擊者。即使用戶更改了密碼,攻擊者仍會因舊cookie而登錄。 – 2010-07-07 00:00:26
你不應該僅僅依靠cookies;每個會話都應該有一個服務器端會話令牌,可以銷燬/重置,從而使客戶端cookie無用。 – DRL 2010-07-07 00:06:02