1
セッションを破壊する最良の方法が何であるかを理解しようとしています。 reset_sessionは、ユーザーのalaセッション[:user_id] = nilをクリアするよりも抜本的です。reset_sessionとsession [:user_id] = nilのトレードオフは何ですか?
しかし、私は多くの例で、reset_sessionの代わりにsession [:user_id] = nilを見ました。どうして?セッションを完全に破壊したくない理由はありますか?
ここでベストプラクティスは何ですか?
ああ、そうです。しかし、セッション[:user_id] =私たちはセキュリティの観点からかなり効果的ですか? – Nathan
理論的には、敵対的なユーザーは、Cookieからこれを削除し、ログインしたままにするというリクエストを無視することができます。次に一致しないデータベースのログイントークンを変更するなど、Cookieを拒否する別のメカニズムが必要です。 – tadman
@tadman、私はactive_record_storeを使用しているので、変更はcookieではなくdbで行われるので、これは問題ではないと思います。または私は何かを逃していますか? – tsherif