Dev

Pra o meu tcc, eu estou fazendo um aplicativo pra gerenciar livros de biblioteca, e ele tem um front-end pra os alunos poderem alugar os livros com facilidade.

Nesse front-end, eles podem se cadastrar e entrar em suas contas. Já faz um tempo que eu venho pesquisando sobre cookies de sessão, e o que eu tenho que colocar neles pra autenticar o usuário toda vez que ele abrir o site, sem ter que fazer isso manualmente.

Se conhecerem um facilitador, eu estou usando ruby on rails

Além de preferir usar https, o que mais eu poderia fazer para evitar isso?

Pra quem não sabe, session hijacking, se resume á roubar o cookie que verifica a sessão do usuário, e utiliza-lo para fazer login no site, sem nem mesmo ter que passar pelo formulário de login.

Na primeira versão do sistema de login que eu criei, após a validação dos dados, cria-se um cookie que guardava apenas o valor do id do usuário logado no banco de dados. E não demorou muito para eu perceber que se substituísse o valor do cookie para qualquer número, após recarregar a página, você já teria invadido a conta de alguém aleatório...

Então eu dei uma tunada nesse sistema, e usei o jwt, para criar um token e criptografar o id do usuário, e a hash da senha, assim, se alguém for criar um token manualmente, ele precisaria saber a hash da senha da vítima.

Mas não sei se isso é o suficiente, ou é?

Se alguém souber o que eu poderia fazer, fala aí nos comentários por favor, é para o meu TCC :(

R.I.P PostgreSQL /s

Pergunta só pra tentar movimentar a comunidade, mas vai servir pra tentar entender quais os tipos de desenvolvedores temos aqui :)

Eu começo:

Linguagem principal: Ruby
Framework Principal: Ruby on Rails
Estado atual: Estudando
IDE: neovim (configuração própria)
OS: fedora 38

Sintam-se a vontade aqui na nova comunidade de desenvolvedores no lemmy :)

Sub de desabafos