当 rails 设置了用 cookie store 存储 session。也设置了 expire_after。这样在浏览器上可以看到 cookie 有一个过期时间。可是如果黑客能拿到这个 cookie，那是不是不管这个时间是否已经过了，服务器都没法判断，这个 session 是否是过期的呢？难道 rails 的 cookie store session 只是靠浏览器的 cookie 的 expires 时间来控制的？