为什么 Ruby on Rails 在每次点击时（有时）都会创建新的会话？

发布于 2024-11-09 21:55:12 字数 914 浏览 5 评论 0原文

由于某种原因，我的 RoR 应用程序中的会话处理程序对于许多用户来说在生产中似乎表现得很奇怪。我正在使用默认的 RoR ActiveRecord 会话存储，并且在开发过程中一切正常。只要我保持浏览器打开，每次修改会话时都会更新一个现有数据行，就像您期望会话正常工作一样。当进入生产服务器时，我个人观察到相同的行为。但是，在查看数据库时，我看到很多行，如以下屏幕截图所示：

http:// imageshack.us/f/191/screenshot20110527at832.png/（抱歉，但我不能直接在此处包含图像，因为我是新用户）

该网站包含在另一个网站的 iframe 中，并且有一个调度程序，它将根据某些会话数据将用户发送（redirect_to）到同一控制器中的另一个操作，即对于所有用户，相同的 URL (mydomain.com/dispatcher) 将包含在 iframe 中。映射到此 URL 的操作将根据 session[:current_action] 决定将用户重定向到哪里。

该网站几乎没有任何流量，因此不可能实际有大约。每秒有 10 个不同的用户向网站发出请求。事实上，我可以在 production.log 中看到，在被重定向时，用户具有不同的 session_id，例如，在访问调度程序时，用户可能具有特定的 sessionid，并且在请求实际目标操作时（由于调度程序中的redirect_to，sessionid 将更改为其他内容。此外，大多数(≥16000个数据行中的97.5％)会话数据行具有0秒的“生命周期”(即created_at等于updated_at)。

您知道什么可能导致此问题吗？

redirect_to 调用是否有可能扰乱 RoR 会话处理？

预先非常感谢您的想法！

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

苏别ゝ 2024-11-16 21:55:12

由于某种配置错误或从数据库获取会话时出现问题，您的访问者可能会为每个请求发出新的 session_id 值。对于基于 cookie 的会话，常见问题是 cookie 被分配给错误的域，或者 www.example.com 和 example.com 主机名之间存在冲突访问 www 版本时。

另一个问题可能是会话上的签名被拒绝并自动创建新会话。

您可能想要创建一个诊断页面，仅转储特定用户的 session.session_id，然后重新加载该页面以确保获得一致的结果。

如果您使用 Firebug，请查看标头，看看是否也为每个请求重新分配了会话。

回复收藏 0 原文

温柔少女心 2024-11-16 21:55:12

事实证明，存在两个问题：

Internet Explorer 中的第三方 cookie：由于该站点包含在 iframe 中，因此所有 IE (IE6-IE9) 都会阻止包括会话 cookie 在内的 cookie。此后，每次重定向时都会向用户提供新的 session_id。
此外，当在 Rails 中的会话存储之间切换时（例如在 Cookie 和 ActiveRecord 会话存储之间），所有现有会话都应被删除/过期。否则，RoR将生成巨大的session_ids，如以下SQL语句：
<块引用>
{:sql=>"INSERT INTO sessions (session_id, data, created_at, updated_at) 值（'BAh7CUkiD3Nlc3Npb25faWQGOgZFRiIlZmRhMzRjMzdiOWU0YjhhMzIyNGU0Y2IwOWZiN2E4YTJJIgptdHVyawY7AEZ7CToSYXNzaWdubWVudF9pZEkiIEFT U0lHTk1FTlRfSURfTk9UX0FWQUlMQUJMRQY7AFQ6C2hpdF9pZEkiIzJRRzhUTktJTVpTTVU4U1ZSR0ZNNVBHVjRNTFlCRQY7AFQ6Dndvcmtlcl9pZEkiE0ExQzd BNFFYUE5DOTRDBjsAVDoPc3VibWl0X3VybEkiGmh0dHBzOi8vd3d3Lm10dXJrLmNvbQY7AFRJIhVza2lwcGVkX3Rhc2tfaWRzBjsARlsGaQBJIhBfY3NyZl90b 2tlbgY7AEZJIjFvbHJiK2tSaDZ1dDhyZ011VmUyZnZrY01wWWFuQll6cVY1YWZ4M0c1QkhFPQY7AEY=--a4223802cfb90e6c75578cc1a27427cf96778598', 'BAh7B0kiCm10dXJrBjoGRUZ7AEkiEmlzX2Rpc3BhdGNoZWQGOwBGVA==\n', '2011-05-28 05:47:19', '2011-05-28 05:47:19')
此外

结果，MySQL 截断了 session-id 适应255 个字符（rails 会话迁移后的默认列规范）因此，根据以下请求，rails 尝试使用（极长的）session_id 恢复会话 - 当然没有成功。

我尝试通过添加以下 HTTP 响应标头来修复 IE 问题：

response.header["P3P"] = 'CP="CAO PSA CONi OTR OUR DEM ONL"'

但是，这似乎不起作用，这就是为什么我重写应用程序以在没有任何会话信息的情况下工作。尽管如此，任何进一步的提示将不胜感激，以供将来参考。

It turns out there were two problems:

Third-Party cookies in Internet Explorer: Because the site was included in an iframe, all IEs (IE6-IE9) would block cookies including the session cookie. Following this, the user would be provided with a new session_id on every redirect.
Furthermore, when switching between session storages in Rails (e.g. between Cookie and ActiveRecord Session Store), all existing sessions should be deleted/expired. Otherwise, RoR will generate huge session_ids, like in the following SQL statement:
{:sql=>"INSERT INTO sessions (session_id, data, created_at, updated_at) VALUES ('BAh7CUkiD3Nlc3Npb25faWQGOgZFRiIlZmRhMzRjMzdiOWU0YjhhMzIyNGU0Y2IwOWZiN2E4YTJJIgptdHVyawY7AEZ7CToSYXNzaWdubWVudF9pZEkiIEFTU0lHTk1FTlRfSURfTk9UX0FWQUlMQUJMRQY7AFQ6C2hpdF9pZEkiIzJRRzhUTktJTVpTTVU4U1ZSR0ZNNVBHVjRNTFlCRQY7AFQ6Dndvcmtlcl9pZEkiE0ExQzdBNFFYUE5DOTRDBjsAVDoPc3VibWl0X3VybEkiGmh0dHBzOi8vd3d3Lm10dXJrLmNvbQY7AFRJIhVza2lwcGVkX3Rhc2tfaWRzBjsARlsGaQBJIhBfY3NyZl90b2tlbgY7AEZJIjFvbHJiK2tSaDZ1dDhyZ011VmUyZnZrY01wWWFuQll6cVY1YWZ4M0c1QkhFPQY7AEY=--a4223802cfb90e6c75578cc1a27427cf96778598', 'BAh7B0kiCm10dXJrBjoGRUZ7AEkiEmlzX2Rpc3BhdGNoZWQGOwBGVA==\n', '2011-05-28 05:47:19', '2011-05-28 05:47:19')

As a result, MySQL truncated the session-id to fit in the 255 chars (default column specification after the rails session migration). Consequently, on the following request, rails tried to recover the session using the (extremely long) session_id - of course without success.

I tried to fix the IE issue by adding the following HTTP Response header:

response.header["P3P"] = 'CP="CAO PSA CONi OTR OUR DEM ONL"'

However, that does not seem to work, which is why I am rewriting the app to work without any session information at all. Still, any further hints would be appreciated for future reference.

回复收藏 0 原文