※ Rails 2.3.10 で修正された。
Rails2.3.9でセッションをActiveRecordにすると、auでのログイン時にActionController::InvalidAuthenticityToken エラーが発生する。
Rails 2.3.9のバグで、セッションにactiverecord または memcache storeを使用している場合に、'HTTP_COOKIE' headerのないリクエストのセッションクッキーがセットされないためにこのエラーが発生するらしい。
ActionController::InvalidAuthenticityToken in SessionsController#create error - Stack Overflow
#5581 Session cookie not sent with activerecord or memcache store in Rails 2.3.9 - Ruby on Rails - rails
パッチがある。
gist: 570149 - Sessions fix for Rails 2.3.9 apps- GitHub