Ruby on rails 更改密码时使cookie无效
我使用cookies管理Rails应用程序中的用户会话。我最近发现,当用户更改密码时,cookie不会像预期的那样失效。正如你所意识到的,这可能是对安全的巨大威胁。我该如何处理这个问题?我想在用户更改密码后使cookie过期或失效。如何在Rails中实现这一点。谢谢。像注销时一样销毁会话;并要求用户重新登录Ruby on rails 更改密码时使cookie无效,ruby-on-rails,security,authentication,session,cookies,Ruby On Rails,Security,Authentication,Session,Cookies,我使用cookies管理Rails应用程序中的用户会话。我最近发现,当用户更改密码时,cookie不会像预期的那样失效。正如你所意识到的,这可能是对安全的巨大威胁。我该如何处理这个问题?我想在用户更改密码后使cookie过期或失效。如何在Rails中实现这一点。谢谢。像注销时一样销毁会话;并要求用户重新登录 像注销时一样销毁会话;并要求用户重新登录 这不会阻止攻击者访问用户的cookie,但仍然从另一台计算机登录。即使用户更改了密码,攻击者仍然会因为旧cookie而登录;每个会话都应该有一个服务
像注销时一样销毁会话;并要求用户重新登录
这不会阻止攻击者访问用户的cookie,但仍然从另一台计算机登录。即使用户更改了密码,攻击者仍然会因为旧cookie而登录;每个会话都应该有一个服务器端会话令牌,该令牌可以被销毁/重置,从而使客户端cookie无效。这不会阻止攻击者访问用户的cookie,并且仍然从另一台计算机登录。即使用户更改了密码,攻击者仍然会因为旧cookie而登录;每个会话都应该有一个服务器端会话令牌,该令牌可以被销毁/重置,从而使客户端cookie无效。