Rails 中的匿名用户——安全考虑？

Question

我正在考虑在 Rails 中实现某种形式的匿名用户系统。 我需要让人们做一些事情（创建记录、查看他们创建的内容等），而无需实际创建帐户。 一旦他们创建了帐户，一切都会持续存在，不会有因清除 cookie 或其他原因而丢失帐户的风险。

现在，我认为这非常简单。 在 User 模型中有一个 is_anonymous 字段，并使用类似的内容来访问当前登录的用户：

def find_user
  session[:user_id] ||= create_new_anonymous_user.id
end

假设会话持续一段合理的时间，并且会话 cookie 不会过期，这应该使一切顺利运行。

然而，我内心深处确信我错过了一些与安全相关的东西。 以前有人做过这样的事情吗？ 我错过了一些非常明显的东西吗？

谢谢！

Answer 1

唯一真正的安全问题是这些匿名用户是否可以执行关键操作。

您的系统意味着拥有特定 cookie 的任何人都可以访问该网站。 不一定有什么大不了的，但这实际上取决于用户提供的信息类型。

我过去做过类似的事情（在我的例子中，我通过网站跟踪进度，当用户登录或注册时，我将“访客”数据附加到他们的帐户中。当您进行切换时，请确保删除匿名记录以防止进一步访问，应该没问题。

Answer 2

我刚刚找到了一个使用 Authlogic 的“试用用户”的非常酷的示例： http://github.com/gisikw/authlogic_trial

Answer 3

假设会话持续一段时间
合理的时间段，以及
会话cookie不会过期，那
应该保持一切正常运行
顺利进行。

也许您应该为新用户设置一个单独的长期 cookie，以便他们可以拥有多个会话（至少来自该浏览器）。

Answer 4

您确定要让人们创建与可能不存在的帐户绑定的对象吗？ 不幸的是，我不太了解您的应用程序实际在做什么，但我认为走这条路可能会给您留下一堆不属于任何真正用户“拥有”的孤立对象。

如果你真的确实想要这样做，我认为你所拥有的已经很不错了。 您可以创建一个真实的用户，标记为“访客”（或其他），一旦用户想要真正注册，系统就会提示他们输入其他信息并取消标记。 您应该添加访客与非访客的访问控制等。