rails中的session

学rails toturial的时候，第八章一直觉得有点没吃透，后来看了两篇rails关于session和cookies源码分析的文章，cookie原理与实现(rails篇) 和session原理与实现(rails篇)，终于又纠正了之前的一些误解。

与jsp不同，rails的所谓session的实现默认是把数据存在浏览器的临时cookies里，通过用户的请求回传cookies，服务器获得session中的变量。cookie的key在config/initializers/session_store.rb里找。因为临时cookies不在硬盘里存储，所以session的生命周期与浏览器有关，关掉浏览器就没有了。而且存在cookie的内容是使用AES加密，密钥在config/secrets.yaml里储存，服务器端收到cookie，会把key对应的value内容解密，这个过程是透明的。这样用户可以把关键数据存在session里，而不用担心安全问题。

session

{

"session_id" => "760be4b1069ab0c80ccade6d36f00355",

"_csrf_token" => "QdtMjYciHnF8XqSCe0xr8nHo3N5pQdhNeKWhe5ZxOC4=",

"admin" => true

}
这是解密后session数据的样式，除了admin是业务数据，也有session_id（不知道还有什么用）和一个token的加密。

这与jsp完全不同，jsp的session是服务器中的一块内存，将sessionid在cookie中存储，通过用户的请求回传sessionid来实现访问session中的数据，sessionid如果不加密存储，还是有安全问题的。如果在rails里需要把重要数据存在cookie里，来实现状态记录，那么需要在两头做加解密。另外，我猜因为session使用cookie来存储，所以内容+key的字节数加密后不能超过4kB，这是个限制。

rails是不是有类似jsp的session实现，有待以后学习中发现。