При конфигурации Rails по умолчанию config.session_store
устанавливается на :cookie_store
. При такой конфигурации, когда пользователь выходит из системы, предыдущий файл cookie все еще действует и не аннулируется на сервере. Таким образом, если ваш браузер или средство перехвата сеанса не уничтожит cookie, пользователь не будет отключен. Пользователь может даже скопировать этот файл cookie, когда он еще вошел в систему, а после выхода отправьте его вместе с запросом http. Сервер не может определить, что пользователь вышел из системы.
Это компромисс использования сеансов на основе файлов cookie. Если вам не нужно это поведение, существуют альтернативные решения, такие как ActiveRecordStore для хранения сеансов в базе данных.