Rails 如何检查 session_id cookie 是否被客户端更改

Question

在rails中，如果正确设置会话配置，它将生成一个session_id，然后在渲染网页后，seesion_id将通过cookie存储在客户端上；但是，如果客户端在向 Web 服务器发送请求之前更改了 cookie 值，rails 如何检查更改？现在我找不到任何rails检查更改的线索，如果不检查并且更改后的seesion_id存在于Web服务器会话存储中，则其他会话的数据将为当前浏览器用户显示。

如果有人清楚这个问题，你能为我解释一下吗？先感谢您。

Answer 1

该 cookie 是经过加密签名的。请参阅：

https://github.com/rails /rails/blob/master/actionpack/lib/action_dispatch/middleware/cookies.rb

请注意，对 cookie 进行签名并不意味着对其进行加密。用户可以通过一些摆弄来查看其会话的内容，但无法在不破坏签名的情况下更改它。

如果您想对用户隐藏会话内容，请不要使用 cookie 存储。