我正在使用在
github上找到的restful_authentication的当前版本,我遇到了一堆奇怪的会话问题.服务器似乎是以某种方式向不需要的用户分配会话.这只会在穿过注销/登录屏障时发生.
这是一个例子.在服务器上没有活动的会话中,我登录到用户A的帐户.在另一台机器上,我用用户B登录.然后在注销用户B之后,在注销重定向发生之后的某个时刻,我将以用户A.从这一点上,我可以继续浏览网站,就像我以该用户登录一样!通过日志观察到的是,当这个劫持发生时,会话ID不一样.用户A在两个会话中登录,但会话ID完全不同.这仅仅是可能发生的一个例子.我不能可靠地再现这个问题,因为它看起来是随机的.
它似乎不是环境或运行的服务器的症状.我可以用杂种和乘客再现这个问题.我也在开发和生产中看到它.我在这个应用程序中使用基于数据库的会话,它正在Rails 2.1.1上运行.在调用生成器时应用了状态选项.否则,对会话的处理方式没有其他修改.
更新
这是直接来自restful_authentication的违规方法.
# Accesses the current user from the session. # Future calls avoid the database because nil is not equal to false. def current_user @current_user ||= (login_from_session || login_from_basic_auth || login_from_cookie) unless @current_user == false end