CookieSessionの改ざん検知方法

Rails2.0はCookieSession使う訳なんですが、一度クライアントに渡したデータの改ざんをどうやっているかというと「実際に入れたデータとそのDigestの両方をCookieに入れて渡し、受け取ったときにそれを検証している」とのこと。
Rails 2.0のセッション話 - moroの日記
なるほど、これならたいした仕組みが必要なく1個secretさえあれば検証できるね。

CookieSession使用時のセッションタイムアウトのやり方

はてされCookieSessionを使うって事はセッションタイムアウトはどうすんだ？
ってことになるんですが、セッションの有効期限を見てアクセス許可を判断する仕組みが王道みたいね。
なるほど、勉強になる。

フィリピン株をはじめた
Rails 2.0 の Cookie と、 RESTful でのセッション管理について - まちゅダイアリー(2008-01-01)
railsのクッキーとセッションについてまとめ - おもしろwebサービス開発日記