[英]how can I make the id's in the URL of my Rails 3 app more secure/obfuscated?
我當前的應用程序在URL中使用非常基本的user_id和message_id。 我想讓id被混淆,以便有人手動更改id並跳轉到別人的消息等等是不容易的。
我怎么做?
問題應該是“我如何簽署我的URL參數,因此無法更改”。
使用只有后端代碼(服務器)知道的秘密鹽。 然后做一些事情,比如連接所有參數(在你的情況下,只是id)和salt,並創建一個SHA哈希。 將哈希附加到您的URL。 在您的控制器中,添加before_filter以檢查哈希的正確性。
現在當有人更改id時,他們還必須重新生成哈希,如果沒有秘密鹽,這是不可能的。 您可以通過使用session-id,timestamp等作為計算超時等的組件之一來改進這一點。
UUID。 我是rails的新手,但我知道有一些選項,因為我需要你想要的相同安全性。 首先是隨機id而不是順序的UUIDtools gem。 顯然Rails 3支持uuid作為數據類型,但它沒有被廣泛使用。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.