大 BUG
点击侧边栏的 ruby-taiwan 的链接,跳过去后发现是登录状态 并且是另一个不认识的同学的帐号
截图如下:
不知道是不是 session 的 secret_token 的相同、再加上其他原因导致的?
觉得在部署 Rails 项目时,config/initializers/secret_token.rb 里的签名密钥应该用rake secret重新生成替换一下。其他需要加密或签名的地方,所需的密钥也要替换。
BTW: ActiveSupport::MessageEncryptor 加密时,只用到了密钥的前 30 位。而签名类 ActiveSupport::MessageVerifier 可能也只用到前 30 位。