反馈 穿越到 ruby-taiwan,附身到了另一个同学身上...

suupic · 2012年02月14日 · 最后由 zhangyuan 回复于 2012年02月14日 · 2665 次阅读

大 BUG

点击侧边栏的 ruby-taiwan 的链接,跳过去后发现是登录状态 并且是另一个不认识的同学的帐号

截图如下:

注销后再次尝试,没有重现

不知道是不是 session 的 secret_token 的相同、再加上其他原因导致的?

觉得在部署 Rails 项目时,config/initializers/secret_token.rb 里的签名密钥应该用rake secret重新生成替换一下。其他需要加密或签名的地方,所需的密钥也要替换。

BTW: ActiveSupport::MessageEncryptor 加密时,只用到了密钥的前 30 位。而签名类 ActiveSupport::MessageVerifier 可能也只用到前 30 位。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号