devise是一個(gè)很好的用戶(hù)登錄gem。但還是想自己寫(xiě)個(gè)“輪子”拄轻,一則本來(lái)就是在學(xué)習(xí)rails颅围,二則是了解了用戶(hù)登錄這一套機(jī)制后,對(duì)理解devise也有好處恨搓。加上rails tutorial中有很大的篇幅介紹用戶(hù)登錄院促,所以周末跟著練習(xí),記錄一下斧抱,加深印象常拓。
本文只針對(duì)登錄,并沒(méi)有涉及到用戶(hù)的注冊(cè)夺姑,所以password_digest和password以用戶(hù)password_confirmaion不會(huì)提及
-
首先需要?jiǎng)?chuàng)建user的model墩邀,包括name、email盏浙、password_digest眉睹、remeber_digest。還需要?jiǎng)?chuàng)建一個(gè)sessioncontroller來(lái)控制登錄和退出rails g model User name:string email:string password_digest:string remeber_digest:string rake db:migrate rails g controller users new -
要在user.rb中調(diào)用has_secure_password的方法废膘,同時(shí)在增加"bcrypt"的gem竹海。另外還需要增加一個(gè)remeber_token的屬性,該屬性是一個(gè)隨機(jī)的值丐黄,然后對(duì)該值進(jìn)行加密存入到remeber_digest斋配,從而理論上保證了唯一性
user.rb
attr_accessor :remeber_token has_secure_password
Gemfile
```
gem 'bcrypt' -
routes.rb中增加登錄用的路由
get 'login' => 'sessions#new' post 'login' => 'sessions#create' delete 'logout' => 'sessions#destroy' -
相應(yīng)的views/sessions/new.html.erb文件中編寫(xiě)登錄頁(yè)面
<div class="row"> <div class="col-md-6 col-md-offset-3"> <%= form_for :session, url: login_url, method: :post do |f| %> <%= f.label :login %> <%= f.text_field :login, class: "form-control", placeholder: "input your name or email" %> <%= f.label :password %> <%= f.password_field :password, class: "form-control" %> <%= f.label :remeber_me, class: "checkbox inline" do %> <%= f.check_box :remeber_me %> <span>Remeber me on this computer</span> <% end -%> <%= f.submit "Log in", class: "btn-primary" %> <% end -%> <p>New user?<%= link_to "Sign up now!", signup_path %></p> </div> </div>
至此,準(zhǔn)備工作基本完成灌闺,其中user.remeber_digest這個(gè)屬性是用來(lái)驗(yàn)證用戶(hù)持久性會(huì)話(huà)狀態(tài)的艰争。而bcrypt這個(gè)gem主要用來(lái)進(jìn)行加密。
開(kāi)始實(shí)現(xiàn)用戶(hù)登錄.
-
首先編寫(xiě)controller中的內(nèi)容桂对。
class SessionsController < ApplicationController #引入SessionsHelper moudle甩卓,這樣就可以調(diào)用該moudle中的方法了 include SessionsHelper def new end def create login = params[:session][:login] password = params[:session][:password] #User.find_by_login(login)是新增加的一個(gè)類(lèi)方法,用來(lái)實(shí)現(xiàn)name或者email的登錄 user = User.find_by_login(login) #authenticate是has_secure_password引入的一個(gè)方法蕉斜,用來(lái)判斷user的密碼與頁(yè)面中傳過(guò)來(lái)的密碼是否一致 if user && user.authenticate(password) log_in(user) #SessionsHelper中的方法 #判斷是否要持續(xù)性的記住用戶(hù)的登錄狀態(tài) params[:session][:remeber_me] == "1" ? remeber(user) : forget(user) redirect_to user_path(user) else flash.now[:danger] = "Invalid login or password." render 'new' end end def destroy log_out if logged_in? #SessionsHelper中的方法 redirect_to root_path end end -
登錄的核心方法都寫(xiě)在SessionsHelper中逾柿。
思路是:用session[:user_id]來(lái)記住臨時(shí)的登錄狀態(tài),一旦瀏覽器關(guān)閉或者退出宅此,session中的內(nèi)容就被清空机错。而用cookies[:user_id]來(lái)持久性的記住用戶(hù)的登錄狀態(tài),因?yàn)閏ookies是存在本地瀏覽器中的父腕,所以這樣會(huì)有安全問(wèn)題弱匪,因此在存cookies[:user_id]的同時(shí),還存放了cookies[:remeber_token]做為身份驗(yàn)證璧亮,一旦這個(gè)值成數(shù)據(jù)庫(kù)中記錄的remeber_digest不一致痢法。則不能登錄。module SessionsHelper #一旦賬號(hào)密碼正確杜顺,則成功登錄财搁,同時(shí)在session中記錄session[:user_id] def log_in(user) session[:user_id] = user.id end #如果用戶(hù)允許在本地保存登錄信息,則保存cookies def remeber(user) #先把本次登錄的remeber_token保存至數(shù)據(jù)庫(kù) user.remeber #然后把remeber_token保存到cookies中躬络,同時(shí)把user_id也保存在cookies中 # cookies[:remeber_token] = { value: user.remeber_token, expires: 10.days.from_now.utc} # cookies.signed[:user_id] = { value: user.id, expires: 10.days.from_now.utc} cookies.permanent[:remeber_token] = user.remeber_token cookies.permanent.signed[:user_id] = user.id end #獲取當(dāng)前登錄用戶(hù)尖奔,如未登錄,則為nil.@current_user這個(gè)實(shí)例變量是為了避免每次調(diào)用current_user方法都去查詢(xún)一遍數(shù)據(jù)庫(kù)的情況穷当。 def current_user #先判斷session中是否為nil if (user_id = session[:user_id]) @current_user ||= User.find_by(id: user_id) #再判斷cookies中是否保存了登錄信息 else (user_id = cookies.signed[:user_id]) user = User.find_by(id: user_id) #如果cookies中保存了提茁,再用authenticated?這個(gè)方法判斷cookies[:remeber_token]或者數(shù)據(jù)庫(kù)中的remeber_digest是否一致。 if user && user.authenticated?(cookies[:remeber_token]) log_in(user) @current_user = user end end end #用來(lái)判斷用戶(hù)是否登錄的方法 def logged_in? !current_user.nil? end #用來(lái)清空持久性登錄信息 def forget(user) user.forget #將user.remeber_digest重置為nil #刪除cookies中的登錄信息 cookies.delete(:user_id) cookies.delete(:remeber_token) end #退出馁菜,同時(shí)刪除session中的信息 def log_out forget(current_user) session.delete(:user_id) @current_user = nil end end -
在user.rb中編寫(xiě)代碼茴扁,用來(lái)支持controller和Helper中的方法.
#用來(lái)加密remeber_token,然后保存到數(shù)據(jù)庫(kù)中的remeber_digest中去 def self.digest(string) cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost BCrypt::Password.create(string, cost: cost) end #生成隨機(jī)的字符串 def self.new_token SecureRandom.urlsafe_base64 end #每次登錄成功或者注冊(cè)后汪疮,都會(huì)調(diào)用remeber的方法峭火,將remeber_token這個(gè)隨機(jī)字符串加密后更新到數(shù)據(jù)庫(kù)中的remeber_digest的值 def remeber self.remeber_token = User.new_token self.update_attribute(:remeber_digest, User.digest(remeber_token)) end #用來(lái)判斷cookies[:remeber_token]中的值通過(guò)BCrypt加密后毁习,是否與數(shù)據(jù)庫(kù)中的一致 def authenticated?(remeber_token) return false if remeber_digest.nil? BCrypt::Password.new(remeber_digest).is_password?(remeber_token) end #退出登錄時(shí)調(diào)用,將數(shù)據(jù)庫(kù)是的rember_digest值置為nil def forget self.update_attribute(:remeber_digest, nil) end
