【发布时间】:2013-02-06 19:34:15
【问题描述】:
我有一个应用程序正在使用设计进行身份验证。 ruby 1.9.2 上的 Rails 3,乘客位于 nginx 之上。
这是我的问题:我注意到我的会话有时会被越过。在以一个用户身份登录时,我有时会成为另一个用户。这真是一个可怕的问题。我已经设法通过使用 active_record 会话存储来停止它。但我对它可能发生的地方感到困惑。在使用 cookie 存储和 memcached 存储时都会发生这种情况。我不确定从哪里开始调试。我已经浏览了我所有的代码,我只是从“current_user”中读取而不是写入。我没有任何代码在会话中存储项目。
谁能给我建议,告诉我在哪里,或如何发生这种情况?
更新:
我在页面顶部设置了一个 div 来转储每个请求的会话内容。这不仅仅是用户切换,而是整个会话。我在会话中设置了一些虚拟变量,只是为了看看会发生什么。当会话越过时,(用户 A 变为用户 B)用户 A 现在看到用户 B 拥有的虚拟变量。用户 B 已注销。
更新 2
我在这里发现了另一个关于堆栈溢出的问题,它描述了同样的问题:In Rails, what could cause a user to have another user's session?
看起来可能是乘客问题?但更重要的是,它怎么会发生?这是一个真正的大问题。我该如何制止这种情况?
更新 3
我现在使用 Unicorn 来提供我的应用程序。我设置了 config.threadsafe!并开始专门使用活动记录会话。不再有 memcached 会话。问题消失了。至少我可以停止拔头发,因为安全孔被堵住了。
我仍然想知道究竟是什么原因造成的。那里的大多数教程都展示了如何使用默认的生成方法来设置乘客。自然,我认为 memcached 在会话管理方面的性能优于其他方法。尤其是在多应用服务器环境中。
更新 4
好的,最后一次更新。这是使用相同 memcached 连接的分叉进程的问题。我通过使用 dalli memcached 客户端修复它,并在独角兽或乘客的 after_fork 回调中重置连接。
【问题讨论】:
-
您是否在同一个浏览器中使用不同的用户?还是您最近没有使用的完全随机的其他用户?
-
未在同一浏览器中以不同的用户登录。即使在不同的网络上也会发生这种情况。用户 A 可能成为用户 B。即使他们位于不同的位置。它是随机发生的,我发现的唯一一件事是他们都必须登录才能发生。
-
这可能是乘客问题吗? devise/warden 是否缓存 current_user 变量?
-
我会到处添加调试...也许有些代码不是线程安全的?
标签: ruby ruby-on-rails-3 session devise