Problema con subdominios y sessiones

Community ES
#1

Tengo 3 app en el mismo hosting
https://www.dominio.com/app1
https://www.dominio.com/app2
https://www.dominio.com/app3

si me conecto en las 3 con diferentes browsers todo va bien
mi teoria es que el navegador guarda cookie para dominio.com sin
importarle
si es app1, app2 o app3 lo que causa el problema

veamos lo siguiente
abro por decir ie o ff
en 1 pestaña entro a app1 me logeo veo un par de catalogos
ahora abro otra pestaña y me conecto a app2 me logeo veo un par de
catalogos
y todo bien
regreso a la pestaña de la app1 y al intentar ir por cualquier recurso
me
bota mandandome a la pagina de login
por el sistema la session se queda sin cerrar y no te deja entrar hasta
que
pasen 5 minutos
intento irme a app2 y me bota tambien y lo mismo

despues lo probe mas simple entre a app1 me logie vi catalogos , abri la
app2 solo la abri en la pagina de login no me logie ni nada
luego regrese a app1 y me bota.
lo que me lleva a que cuando abro la app2 sobreescribe la cookie y la
proxima vez en app1 manda la cookie de app2 y no me reconoce
la app ruby.

las sessiones se guardan en bd en la tabla sessiones.

pienso que debe ser alguna configuracion de apache o algo pero no tengo
idea
bien de que es lo que haga falta para que no pase esto

el hosting es bluehost, estoy corriendo en apache con cgi ( no uso fcgi
porque se me hace mas comodo ahorita que ando con muchos cambios sobre
cgi )

no uso mongrel porque aparte que me estaba dando unos cuelges extraños,
no
se pudo configurar sobre https, y el hosting me dijo que para usar https
usara cgi o fcgi

#2

On Tue, Jul 29, 2008 at 9:08 PM, Omar J. [email protected]
wrote:

Tengo 3 app en el mismo hosting
https://www.dominio.com/app1
https://www.dominio.com/app2
https://www.dominio.com/app3

si me conecto en las 3 con diferentes browsers todo va bien
mi teoria es que el navegador guarda cookie para dominio.com sin importarle
si es app1, app2 o app3 lo que causa el problema

¿Tienen el mismo nombre las cookies de las 3 aplicaciones?
Echale un ojo al archivo environment.rb de cada aplicación, mira el
valor de session_key en config.action_controller.session

#3

pues revise mis environment.rb y no tiene nada de lo que mencionas
solo tiene esto:
config.action_controller.session_store = :active_record_store

deberia tener algo como esto ??
config.action_controller.session = {
:session_key => ‘_prb_session’,
:secret =>
'a8c00023b12e97110d51c05f4cee8aeb995d8e5ddbb51b4494e2dce008$
}

y para cada app cambiar el session_key ??

2008/7/29 Juanjo Bazán [email protected]

#4

Resuelto, muchas gracias Juanjo Bazán

config.action_controller.session = {
:session_key => ‘_pruebasHIR_session’ #,

:secret => ‘secretpass’

}

puse eso y ya desaparecio el problema
ahora mi pregunta la parte de secret ? para que vendria siendo, tengo
entendido que si la pones
hay que agregar una linea en application.rb pero no supe bien para que
era y
de momento lo deje comentado

2008/7/29 Omar J. [email protected]

#5

o sera que tengo que poner

ActionController::Base.session_options[:session_domain] =
mysite.com/app1

como comento anteriormente tengo active_record_store para la session
esto
indica que no se usan cookies ?
si es asi ? entonces como el servidor liga al usuario para sacar de la
bd de
la tabla session el id y de ahi sacar sus objetos de
session ?

2008/7/29 Omar J. [email protected]

#6

On Tue, Jul 29, 2008 at 8:45 PM, Omar J. [email protected]
wrote:

de momento lo deje comentado
Se usa para encriptar los datos que se guardan en la cookie cuando
estas usando session based cookies.

Yo no la sacaria, sino que pondria el mismo secret en las 3
aplicaciones.

¡Falta Uno! - http://www.falta-uno.com.ar/
Ricardo M.

#7

la cookie solo lleva el session id
para que me serviria el secret en este caso ?

El :secret sirve para verificar la integridad de la información que
llega desde el cliente en la cookie, así que conviene que le des un
valor que le haga invulnerable a ataques simples, tipo diccionario o
fuerza bruta. Se recomienda usar como :secret una cadena de texto de
mínimo 30 caracteres de longitud que no sólo incluya letras.

#8

sera necesario ? porque tengo session por bd
la cookie solo lleva el session id
para que me serviria el secret en este caso ?
revisando como estan los datos en la tabla de sessiones en el campo data
no
se ve que los guarde
como texto plano ni mucho menos

2008/7/29 Ricardo M. [email protected]

This forum is not affiliated to the Ruby language, Ruby on Rails framework, nor any Ruby applications discussed here.

| Privacy Policy | Terms of Service | Remote Ruby Jobs