Что касается сессий в Rails с использованием CookieStore, если у меня есть два сервера с одинаковыми приложениями Rails и настроены одинаково (одинаковые для хэшей и конфигурации), я знаю, что если один пользователь попадает на первый сервер и запускает сеанс, а затем, если последующие запросы попадут на второй сервер, приложение будет работать нормально. Сейчас все в порядке.Rails 4 authenticity_token с использованием нескольких серверов
Но, что касается форм и подлинности_token, как вы справляетесь с этим (предотвращая CSRF)?
Предположим, у меня есть хеш-сессия Cookie (с использованием CookieStore), которая хранится с использованием Cookies на стороне клиента (браузер). Таким образом, сеанс не используется на стороне сервера вообще.
Таким образом, если я создаю аутентификацию_token с сервера 1, а затем следующий запрос (POST из формы) попадает на сервер 2, запрос будет отклонен с ошибкой или исключение рельсов.
Как вы справляетесь с этим? Совместное использование подлинности_tokens в памяти или использование программного обеспечения «промежуточного программного обеспечения», например, для хранения значений ключа Redis, чтобы каждый сервер мог проверить подлинность_tokens?
Спасибо!
ли вы на самом деле пробовал и получил ошибку, или это только предположение? Ток CSRF основан на текущем сеансе, и поскольку информация о сеансе хранится в файле cookie, он должен работать на нескольких серверах. –