在Rails 3中,会话COOKIE可以使用base64解码轻松解码,但在Rails 4中,COOKIE被编码和加密.

我想知道如何读取编码和加密的rails 4 COOKIE(假设我们知道密钥库).

谢谢,

1> Dani..：

Rails 4使用AES-256根据您的应用程序使用密钥加密COOKIE secret_token_base.

以下是解密会话COOKIE的一般方案:

计算你的秘密密钥

Base 64解码COOKIE值

将解码后的COOKIE值拆分为" - ",这将产生两部分,第一部分是加密数据,第二部分是加密方案使用的初始化向量.Base 64独立地解码每个部分.

通过对密钥和初始化向量应用AES解密来解密加密数据.

我找不到一个可以轻松解密消息的网站(建议是受欢迎的),以编程方式可以这样做:

几个笔记:

此代码段几乎与middeware 使用的实际_decript方法实现ActiveSupport::MessageEncryptor相同ActionDispatch::COOKIEs.

从ActionDispatch :: Session :: COOKIEJar开始,这些都是Rails 4的特定内容:

如果您只设置了secret_token,那么您的COOKIE将被签名,但不会加密.这意味着用户无法在不知道应用的密钥的情况下更改他们的+ user_id +,但可以轻松阅读他们的+ user_id +.这是Rails 3应用程序的默认设置.

如果您设置了secret_key_base,您的COOKIE将被加密.这比签名COOKIE更进一步,因为加密的COOKIE不能被用户更改或读取.这是Rails 4中的默认开头.