Наш производственный сервер в течение нескольких месяцев производит ложные ошибки токена аутентификации. Ошибки создаются почти во всех формах, отправляющих запросы (PUT | POST | DELETE). Иногда возникает ошибка, иногда они этого не делают. Похоже, что нет рифмы или причины, почему они происходят. Сама ошибка не возникает часто, но это беспокоит нас. Ниже приведен пример типичной формы, которая вызывает эту ошибку.Отладка случайных ошибок аутентификации подлинности подлинности
<form class="button_to" method="post" action="/lesson_progress_trackers/333">
<input type="hidden" name="_method" value="patch">
<input class="finish-lesson-button" type="submit" value="Done!">
<input type="hidden" name="authenticity_token" value="Qd3FsJZY2UXR9vahuFmaY5rrqA+J5xzGpl4cGI2Vwerx8PZPQtDMugz6oqoe3iviC+/U5zTYPdeX3apwbap09E==">
<input type="hidden" name="completed" value="true">
</form>
Вот что я обнаружил до сих пор.
- Мы используем Turbolinks 2.5.3 (мы не обновляем это более года).
- В каждом случае недопустимой ошибки токена пользователь передал токен аутентификации на сервер, он просто оказался недействительным.
- В настоящее время мы используем
protect_from_forgery with: :exceptionв нашем контроллере приложений. - Ошибки начали появляться, когда несколько месяцев назад мы выпустили кучу нового кода. Этот новый код охватывает сотни файлов, но до сих пор я ничего не нашел в коде, который бы имел отношение к этой проблеме.
- Ошибка может возникать на любом типе браузера и устройства.
- Нет корреляции между увеличенным трафиком и недействительными токенами auth.
- Пользователи могут приезжать из любой страны.
- Это не боты, испытывающие эти проблемы. У нас даже был опыт коллеги по этой ошибке, хотя они не могут вспомнить, что они сделали для ее создания.
- Пользователи следуют типичным, если не ожидаемым поведением. Они используют приложение, как предполагалось. Я просмотрел их клики и записал историю поведения, чтобы завершить это.
В конечном счете, я хочу выяснить, как это решить. Мой первый шаг - успешно воспроизвести ошибку, но я даже не могу этого сделать. Мой вопрос заключается в следующем: что я могу сделать, чтобы помочь мне понять, что вызывает это? У меня заканчиваются варианты. Благодаря!
Да, я сделал это. Это происходит для реальных пользователей. Это не боты. Образцы, которые я обнаружил, являются типичным поведением пользователя. Нет ничего ненормального в том, что они делают. Я готов сказать, что это ожидаемое поведение. Вот почему это так страшно. – jason328
Можете ли вы исключить, что что-то истекает? Cookies - это всего лишь одно, это может быть какое-то связанное с временем сравнение, неправильное время на сервере, поле базы данных, которое ожидает определенное время или что-то в этом роде. – Smar
Я так не думаю? Вы можете немного уточнить свой вопрос. – jason328