Implementation of “Remember me” in a Rails application我的Rails应用程序有一个带有"记住我"复选框的登录框。 选中该复选框的用户即使关闭浏览器也应保持登录状态。 我通过将其ID存储在用户的会话中来跟踪用户是否已登录。 但是会话在Rails中作为会话cookie实现,但不是持久性的。 我可以使它们持久化:
但这似乎是一种骇客,对于如此常见的功能而言令人惊讶。 有什么更好的办法吗? 编辑
Gareth的答案相当不错,但是我仍然希望熟悉Rails 2的人提供答案(因为它是唯一的 您几乎应该确定不会延长会话cookie的寿命。 尽管没有专门讨论Rails,但本文还是花了一些时间来解释"记住我"的最佳实践。 总之,您应该:
作者还建议使随机值无效,并在每次登录时重置cookie。我个人不喜欢那样,因为那样一来您就无法保持登录两台计算机上的站点。我倾向于确保我的密码更改功能也重置随机值,从而锁定其他计算机上的会话。 最后一点,他给出的关于使某些功能(密码更改/电子邮件更改等)无法用于自动身份验证的会话的建议非常值得遵循,但在现实世界中很少见。 我花了一段时间思考这个问题,并得出了一些结论。默认情况下,Rails会话cookie是防篡改的,因此您不必担心在客户端上修改cookie。 这是我所做的:
当用户选中"记住我"框时,我只是将会话[:expireson]日期设置为登录+ 2周。因为Rails会话cookie是防篡改的,所以没有人可以窃取该cookie并永远保持登录状态或伪装成另一个用户。 我建议您要么看一下具有此实现的RESTful_Authentication插件,要么只是切换您的实现以使用RESTful Authentication_plugin。在Railscasts中有关于如何使用此插件的很好的解释: railscasts#67 restful_authentication 这是插件本身的链接 restful_authentication restful_authentication插件对此有一个很好的实现: http://agilewebdevelopment.com/plugins/restful_authentication 请注意,您不想保留他们的会话,而只想保留他们的身份。当他们返回您的网站时,您将为他们创建一个新的会话。通常,您只需为用户分配一个GUID,将其写入他们的cookie,然后在他们回来时使用它来查找他们。不要使用他们的登录名或用户ID作为令牌,因为很容易猜到令牌,并允许狡猾的访问者劫持其他用户的帐户。 我会去Devise寻求出色的Rails身份验证解决方案。 这对我来说就像是一种魅力: http://squarewheel.wordpress.com/2007/11/03/session-cookie-expiration-time-in-rails/ 现在,我的CookieStore会话将在两周后到期,因此用户必须再次提交其登录凭据才能持续登录另外两周。 基本上,它很简单: |
