Мне интересно, почему Rails формируют токены аутентичности для всего сеанса, а не генерируются уникально для каждой отправки.
Я исхожу из web2py, где формы создаются с уникальные одноразовые жетоны под названием _formkey
. Formkey автоматически предотвращает дублирование отправки в результате двойного щелчка, кэширования кнопки возврата и т. Д.
В Rails вам, по-видимому, придется самостоятельно решать проблему двойной отправки (см. https://stackoverflow.com/a/4683161/165673). Мне кажется, что одноразовые токены аутентичности решат эту проблему, а также сделают их более безопасными?