0

Ruby on Rails Security Guide on Security,下面给出了2.9 Session Expiry以下示例代码:

class Session < ApplicationRecord
  def self.sweep(time = 1.hour)
    if time.is_a?(String)
      time = time.split.inject { |count, unit| count.to_i.send(unit) }
    end
 
    delete_all "updated_at < '#{time.ago.to_s(:db)}'"
  end
end

如何将模型连接到 Devise / 到 Devise SessionController ?Devise 会使用该模型吗?它会自动完成还是需要进一步的步骤?这个例子不是特定于 Rails 自己的 cookie/会话管理吗?如果是这样,与 Devise / Warden 的适当补充是什么?

谢谢

冯·斯波茨

4

1 回答 1

1

如果您正在构建自己的身份验证系统,这些说明非常有用,但 Devise 可以为您处理。

在您的用户模型中,将:timeoutable属性添加到现有devise语句中。

config/initializers/devise.rb中,您可以指定超时持续时间,例如:

config.timeout_in 30.minutes

如果一刀切的超时限制不能满足您的需求,您还有其他几种选择:

  1. 如果您有不同的模型,它们有自己的登录路径和不同的超时限制,您可以添加timeout_in到每个devise_for声明

  2. 如果您的用户模型中有一个标志(例如,一些用户有admin: true),您可以向您的模型添加一个#timeout_in方法(请参阅设计 wiki 中的此条目)。

但是,大多数时候,使用配置文件是最好的,也是最简单的方法。

于 2021-05-02T10:16:25.850 回答