ruby -在Rails应用程序中实现“记住我”

Translate

我的Rails应用程序有一个带有“记住我”复选框的登录框。选中该复选框的用户即使关闭浏览器也应保持登录状态。我通过将其ID存储在用户的会话中来跟踪用户是否已登录。

但是会话在Rails中作为会话cookie实现,但不是持久性的。我可以使他们坚持:

class ApplicationController < ActionController::Base
  before_filter :update_session_expiration_date

  private

  def update_session_expiration_date
    options = ActionController::Base.session_options
    unless options[:session_expires]
      options[:session_expires] = 1.year.from_now
    end
  end
end

但这似乎是一种骇客,对于如此常见的功能而言令人惊讶。有什么更好的办法吗?

编辑

Gareth的答案相当不错,但我仍然希望熟悉Rails 2的人提供答案(因为它的独特性CookieSessionStore).

This question and all comments follow the "Attribution Required."

所有的回答

Translate

我花了一段时间思考这个问题,并得出了一些结论。默认情况下,Rails会话cookie是防篡改的,因此您不必担心在客户端上修改cookie。

这是我所做的:

  • 会话Cookie被设置为长期(6个月左右)
  • Inside the session store
    • “到期时间”日期设置为登录+ 24小时
    • 用户身份
    • Authenticated = true,因此我可以允许匿名用户进行处理(由于cookie篡改保护而没有危险)
  • 我在应用程序控制器中添加一个before_filter,以检查会话的“过期时间”部分。

当用户选中“记住我”框时,我只是将会话[:expireson]日期设置为登录+ 2周。因为Rails会话cookie是防篡改的,所以没有人可以窃取该cookie并永远保持永久登录或冒充其他用户身份。

来源
Translate

您几乎应该确定不会延长会话cookie的寿命。

虽然没有专门处理导轨本文竭尽全力地解释“记住我”的最佳做法。

总之,您应该:

  • 向用户表添加额外的列以接受较大的随机值
  • 在客户端上设置一个长期存在的cookie,该cookie结合了用户ID和随机值
  • 当新会话开始时,请检查是否存在id / value cookie,并在新用户匹配时对其进行身份验证。

作者还建议使随机值无效,并在每次登录时重置cookie。我个人不喜欢那样,因为那样一来您就无法保持登录两台计算机上的站点。我倾向于确保我的密码更改功能也重置随机值,从而锁定其他计算机上的会话。

最后一点,他给出的关于使某些功能(密码更改/电子邮件更改等)无法用于自动身份验证的会话的建议非常值得遵循,但在现实世界中很少见。

来源
Translate

我建议您要么看一下具有此实现的RESTful_Authentication插件,要么只是切换您的实现以使用RESTful Authentication_plugin。在Railscasts中有关于如何使用此插件的很好的解释:

railscasts#67 restful_authentication

这是插件本身的链接

restful_authentication

来源
Translate

restful_authentication插件对此有一个很好的实现:

http://agilewebdevelopment.com/plugins/restful_authentication

来源
Translate

请注意,您不想保留他们的会话,而只想保留他们的身份。当他们返回您的网站时,您将为他们创建一个新的会话。通常,您只需为用户分配一个GUID,将其写入他们的cookie,然后在他们回来时使用它来查找他们。不要使用他们的登录名或用户ID作为令牌,因为很容易猜到令牌,并允许狡猾的访问者劫持其他用户的帐户。

来源
Translate

这是一个很好的关于创建30天持续会话的经验的总结。

警告:博客文章来自2006年

http://grahamglass.blogs.com/main/2006/05/rails_sessionsr.html

来源
Translate

这对我来说就像是一种魅力:

http://squarewheel.wordpress.com/2007/11/03/session-cookie-expiration-time-in-rails/

现在,我的CookieStore会话将在两周后到期,因此用户必须再次提交其登录凭据才能持续登录另外两周。

基本上,它很简单:

  1. 在vendor / plugins目录中包含一个文件
  2. 仅使用一行在应用程序控制器中设置会话到期值
来源
Ved
Translate

我会去Devise寻求出色的Rails身份验证解决方案。

来源