Ich sende eine E-Mail-Adresse als signiertes Cookie:
%Vor%Später sendet das Frontend es mir als HTTP-Header zurück:
%Vor%Wie entschlüssle ich dann von der empfangenen Kopfzeile zur ursprünglichen E-Mail-Adresse? Ich habe versucht, die folgende Zeile, aber es erzeugt den Fehler:
%Vor%NoMethodError-Ausnahme: undefinierte Methode "signiert" für #String: 0x00000008a57a78
Mit debugger erhalte ich einen Wert für request.headers["HTTP_USER_EMAIL"] von "Im9yZ29utcGxlLmNvbSI=--37ddc725d139f86095ae839012c31a14e" . Also ist der verschlüsselte Wert da.
Differenzwert in Cookie versus header: Wenn der verschlüsselte Wert in einem Cookie gefunden würde, könnten Sie ihn mit cookies.signed[:http_user_email] entschlüsseln. Meine Versuche von request.headers["HTTP_USER_EMAIL"].signed und request.headers.signed["HTTP_USER_EMAIL"] sind im Grunde die gleichen wie wenn Sie mit einem Cookie den verschlüsselten Wert des Cookies nehmen und am Ende .signed hinzufügen: "Im9yZ29utcGxlL".signed . Und das würde auch nicht funktionieren. Aber wie soll man es dann machen, wenn der verschlüsselte Wert in einer Zeichenkette gefunden wird?
Oder würden Sie argumentieren, dass Sie keine verschlüsselte Version der E-Mail-Adresse des Benutzers für die API-Authentifizierung verwenden müssen? Die Authentifizierung erfolgt auf Basis der Kombination der E-Mail-Adresse und eines Tokens (das Token muss) Match den Digest, der eine verschlüsselte Version des Tokens ist).
Bei config/initializers/secret_token.rb sollten Sie das Passwort haben:
Zum Entschlüsseln:
%Vor%In 4.0 basierend auf der Standardkonfiguration. Ab 4.1 könnte config / secrets.yml anstelle von secret_token.rb
verwendet werdenTags und Links security ruby-on-rails encryption cookies