2

在 Rails 3 应用程序中实现“记住我”功能的最佳实践是什么?

我在用户登录时将会话信息(会话 ID + 用户 ID)存储在数据库中,此时我不想使用任何插件。

任何指针或代码示例将不胜感激。

4

5 回答 5

8

您只需在已签名的 cookie 上设置过期时间即可完成此操作。(签名 cookie 就像 Rails 提供的 cookie 一样是防篡改的session。)

class SessionsController < ApplicationController

  def create
    ...
    user = User.authenticate(params[:email_address], params[:password])

    if params[:remember_me]
      cookies.signed[:user_id] = { value: user.id, expires: 2.weeks.from_now }
    else
      # expires at the end of the browser session
      cookies.signed[:user_id] = user.id
    end
  end

  def destroy
    cookies.delete :user_id
  end
end 

class ApplicationController < ActionController::Base
  ...
  def current_user
    User.find(cookies.signed[:user_id])
  end     
end
于 2015-05-02T04:26:37.283 回答
3

Railscasts一个关于实现这一点的插曲,以及一个关于通过 BDD 和 RSpec 和 Capybara实现这些功能的精彩 HOWTO 。

我在用户登录时将会话信息(会话 ID + 用户 ID)存储在数据库中

User我相信这是一种方法,上面的演员通过为每个帐户颁发一个唯一的身份验证令牌对 cookie 做同样的事情。

于 2011-10-05T09:07:17.400 回答
2

一直在阅读 Rails 教程书,它有一个记住我的实现

您可以检查一些提示(实现可能与您的不同)

http://ruby.railstutorial.org/book/ruby-on-rails-tutorial#sec:remember_me

于 2011-10-05T07:38:53.843 回答
1

这就是我实现 remember_me 的方式(下面的代码片段来自我关于身份验证的示例 Rails 应用程序):

class SessionsController < ApplicationController
  skip_before_filter :login_required, :only => [:new, :create]

  def new
  end

  def create
    @current_user = User.authenticate(params[:email], params[:password])

    if @current_user
      @current_user.track_on_login(request)

      if params[:remember_me]
        cookies[:remember_token] = { :value => @current_user.remember_token, :expires => 24.weeks.from_now }
      else
        cookies[:remember_token] = @current_user.remember_token
      end

      redirect_to dashboard_url, :notice => "Logged in successfully."
    else
      flash.now[:alert] = "Invalid login or password."
      render 'new'
    end
  end

  def destroy
    current_user.track_on_logout
    current_user.reset_remember_token_and_save  # can't rely on the 'save_current_user_if_dirty' after_filter here

    cookies.delete(:remember_token)
    reset_session

    redirect_to root_url, :notice => "You have been logged out."
  end
end
于 2011-12-01T18:51:27.330 回答
0

只是一个没有盐的例子:

class ApplicationController < ActionController::Base

  protected

  def signin!(user_id)
    return unless user_id
    @current_user = User.find(user_id)
    self.session_user_id = @current_user.id
    self.permanent_user_id = @current_user.id if session[:accept_remember_me]
  end

  def signout!
    self.session_user_id = nil
    self.permanent_user_id = nil
    session[:accept_remember_me] = nil
    @current_user = nil
  end

  def remember_me
    session[:accept_remember_me] = true
  end

  private

  def permanent_user_id
    cookies.signed[:permanent_user_id]
  end

  def permanent_user_id= value
    cookies.permanent.signed[:permanent_user_id] = value
  end

  def session_user_id
    session[:user_id]
  end

  def session_user_id= value
    session[:user_id] = value
  end

end
于 2011-10-05T08:00:55.100 回答