http://phenoelit.org/blog/archives/2012/12/21/let_me_github_that_for_you/index.html

这里有篇文章提到类似问题。

我还原了一下 ruby-china 在我浏览器上设置的 session（抹掉了信息，只保留了格式）

{"session_id"=>"06fd9f57exxxxxxxxxxxxxxxxxxxx0dd", "_csrf_token"=>"eddCzjiFBIeGrrxxWxxxxxxxxxxxxxxxxxxxxps+Hxc=", "warden.user.user.key"=>["User", [1848], "$2a$10xxxxxxxxxxxxxxxKDX.YIpO"]}

首先 session_id 这关貌似就过不了。

_csrf_token 貌似在我们的话题中不是很必要。

warden.user.user.key 虽然表露出我在 User 表中，且 id 是 1848（我是 ruby-china 的 1848 号会员），但是 warden 在后面加了个 digest，所以也无法伪造。

很多时候，如果我们并没有 devise 或者 warden 这样的库的时候，我们会简单地保存 user_id 这个值在 session 中（用的时候，在服务端会取出 session[:user_id]）。在这样的情况下，如果不小心暴露了自己的 config/initializers/secret_token.rb 文件，那么，就可以简单地把 user_id 修改为其他人的，并通过适当的算法生成 CookieStore 生成的那个 digest，然后 do evil。

以上提到的『适当的算法』在此：https://github.com/joernchen/evil_stuff/blob/master/ruby/sign-cookie.rb

ruby-china 的 secret_token.rb 在此：https://github.com/ruby-china/ruby-china/blob/master/config/initializers/secret_token.rb

独立开发者的 Web 开发学习成本真的很高啊....不仅前端后端，还要注意各种安全性问题。

Storing nonces in a database table would defeat the entire purpose of CookieStore (avoiding accessing the database).

我来写篇博文发发吧～

自问自答，楼主真性情