Отвечая на мой собственный вопрос - secret_token используется для предотвращения взлома cookie в Rails.Каждый cookie-файл имеет контрольную сумму, сохраненную вместе с ним, поэтому пользователи не будут изменять содержимое cookie-файлов (и, например, изменять сохраненный идентификатор пользователя, чтобы украсть чью-то учетную запись).Контрольная сумма основана на содержимом cookie и secret_token, поэтому, если вы используете сеансы на основе cookie, вы всегда должны убедиться, что ваш secret_token действительно секретный, иначе вы не можете поверить, что все, что вы положили в сеанс, вернулось без изменений.