在Rails中，什么原因会导致一个用户获得另一个用户的会话？

Question

3

我有一个Rails应用程序，使用未经修改的Restful Authentication身份验证系统。

用户报告发现自己作为错误的用户登录。至少在其中一种情况下，是在他们的第一个页面视图上，之前从未登录过。

他们的会话ID是否可能混淆了？如果切换到CookieStore，这种情况是否不可能发生，因为不会以这种方式存储任何会话数据？

我怀疑问题与Passenger有关，但我不知道从哪里开始调试。它只发生了几次，在几个月的运行时间内仅发生了4次，所以几乎无法重现。

环境： ActiveRecord会话存储 Rails 2.2.2 Passenger 2.0.1 Apache 2 Ruby 1.8.6

非常感谢。

- DavidNorth

你有没有找到解决这个问题的方法？ - Eric

3个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- DanneManne · Answer 1

我曾经遇到过类似的问题，原因是用户被存储在类变量而不是实例变量中。例如，如果您像这样进行身份验证/存储用户：

  def current_user
    User.current ||= ( login_from_session || login_by_password )
  end

在这种情况下，用户将被存储在类中而不是实例中，第一个登录的用户将被存储在类中，并且将传递给下一个用户的会话。为了解决这个问题，这已经被更改为：

def current_user
  @current_user ||= ( login_from_session || login_by_password )
end

当然，这只是众多可能性之一，但我会从将会话中的user_id和您使用的user变量都写入日志开始进行故障排除，以查看是否存在任何差异。

- Tom Lianza · Answer 2

我目前的想法是，这实际上与Passenger有关，似乎这是你正在看到的内容，我正在看到的内容以及其他帖子报告的共同组件（我们都使用不同的会话存储和rails版本）。

- junique · Answer 3

如果您使用客户端会话存储（新版本Rails的默认设置），那么可能是应用程序中的错误，而不是被盗的会话（或类似的情况）。请确保您知道使用哪种会话存储方式以及它的工作原理。