Q&A
railsを使用してログイン機能を実装する際、
・ログイン
session[:user_id] = user.id
・ログアウト
session[:user_id] = nil
のようにセッションを使用するのはよくないのでしょうか?
パスワードに関しては、「has_secure_password」を使用すればよいと思うのですが...
調べてみる限り、deviseなどが広く使用されているようですが、カスタマイズがしにくいので
できれば使用したくはないのですが...
初心者なので当たり前のことが分かっていないのかもしれませんが、
何卒ご教授よろしくお願いいたします。
回答1件
0
ベストアンサー
できないこともないですが、sessionに持たせる場合はセキュリティ上要注意です。
Railsでは黙っているとsession情報がクッキーでブラウザに送られます。するとそこでuser.idを書き換えて他の人になってアクセするということができてしまいます。
ですので、セッションに持たせる場合は、セッションをクッキーで渡さないという実装が必要になるかと。
投稿2019/08/25 05:00
総合スコア23331
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/08/25 09:29
2019/08/25 09:35