2

我正在使用 Sinatra 框架制作一个非常简单的 Web 应用程序,该应用程序需要登录会话。

我可以正常登录,但是当我的朋友访问该站点时,他们以我的身份登录。我有一个朋友注册。当我重新访问该网站时,我以她的身份登录!我们在不同的设备上相距 3000 英里。

这是我的登录代码的要点..

require 'rubygems'
require 'sinatra'

# I have tried enabling/disabling the :session_secret
# set :session_secret, 'my_secret' 
enable :sessions

before '*' do
  begin
    User.login(User.find(session[:me])) if session[:me]
  end
end

post '/login' do
  user = User.find_by_email!(params[:email]).authenticate!(params[:password])
  session[:me] = user.id
  User.login user
  200
end

我还尝试将其添加到我的机架文件中

use Rack::Session::Cookie, 
    :key => 'my_app_key',
    :path => '/',
    :expire_after => 14400, # seconds
    :secret => 'secret_stuff'

问题在于生产和开发环境。

Sinatra 文档不推荐任何超出enable :sessions http://www.sinatrarb.com/faq.html#sessions的配置

4

1 回答 1

6 
User.login(User.find(session[:me])) if session[:me]

class User
  def self.login(user)
    @@me = user
  end
end

这是你的问题。类变量持续存在,即使在请求之间也是如此。

  1. 你登录
  2. User @@me设置为您的用户
  3. 其他人访问该站点。
  4. session[:me]nil因为还没有会话
  5. User.login不被调用,它要么设置User @@me为用户,要么设置为 nil。

所以当没有时session[:me]User @@me不会改变。

简而言之,不要使用类变量来存储应该只为单个请求保留的信息。

于 2013-01-03T20:18:46.647 回答