0
根據this question,會話可以由用戶編輯。但是this answer暗示存儲用戶標識是安全的。Rails:使用默認CookieStore的會話的消息摘要在哪裏
消息摘要是包含在cookie來確保數據的完整性:在不知道包含在散列密鑰
隨着<%= debug(session) %>嵌入用戶不能改變他的user_id我的頁面和Chrome開發人員工具中的會話值,我無法在會話Cookie中找到消息摘要。如果我以用戶A的身份登錄,然後以用戶B的身份登錄,則會話cookie保持與excecpt user_id值相同。
那麼消息摘要或我需要一些配置?自動生成的secret_token存在於config/initializers/secret_token.rb中。它是否存儲在服務器的內存中並在每個請求上散列會話值?