实现登录功能
注册模块一般用users
登陆模块一般用sessions
- 配置登录模块路由
get '/login', to: 'sessions#new'
post '/login', to:'sessions#create'
delete '/logout', to: 'sessions#destroy’
- 准备登录表单页面
- 编写控制器(sessions_controller.rb)
控制器中的逻辑(sessions_controller.rb)
class SessionsController < ApplicationController
def new
end
def create
user = User.find_by_email(params[:session][:email])
if user && user.authenticate(params[:session][:password])
sign_in(user)
#判断是否要记住密码
params[:session][:remember_me] == '1'? remember(user) : forget(user)
redirect_to users_path
else
#flash.now 与flash不同,专门用于在重新渲染的(render)页面中显示闪现消息,会在下次请求时消失
flush.now[:error]='账号或密码错误'
render 'new'
end
end
def destroy
sign_out
redirect_to new_session_path
end
end
4.编写用户认证需要的方法(sessions_helper.rb)
module SessionsHelper
#登录操作
def sign_in(user)
#这么做会在用户的浏览器中创建一个临时 cookie,内容是加密后的用户 ID。浏览器关闭就会被清除。在后续的请求中,可以使用 session[:user_id] 取回这个 ID
session[:user_id] = user.id
end
#记住用户,持久性存储登录信息(存cookie)
#1.创建记忆令牌把未加密的存储到cookie把记忆令牌加密更新到数据库
#2.把用户设置为当前登录用户
def remember(user)
remember_token = User.new_remember_token
user.remember(remember_token)
cookies.permanent[:remember_token] = remember_token #permanent自动将过期时间设置为20年之后
cookies.permanent.signed[:user_id] = user.id #signed设置存入浏览器前安全加密cookie中的用户ID
self.current_user = user
end
#忘记用户,清空持久性登录信息(清空cookie)
def forget(user)
user.forget #清空用户的记忆令牌
cookies.delete(:remember_token)
cookies.delete(:user_id)
end
#登录成功存储当前登录用户信息
def current_user = (user)
@current_user = user
end
#判断是否登录
#登录用户可能是从登录页面登录进来,也有可能是记住密码进来,所以如果@current_user没值可以通过cookie获取值
def sign_in?
!current_user.nil?
end
#获取当前登录用户
def current_user
if (user_id = session[:user_id])
@current_user ||= User.find_by_id(user_id)
else (user_id = cookies.signed(:user_id)) #解密cookie中的用户ID
user = User.find_by_id(user_id)
#if user.remember_digest == User.encrypt(cookies[:remember_token])
if user && user.authenticated?(cookies[:remember_token])
sign_in user
@current_user = user
end
end
end
#退出登录
def sign_out
#忘记持久会话
forget(current_user)
#忘记session
session.delete(:user_id)
@current_user = nil
end
end
5.编写model中的逻辑(user.model)
class User < ActiveRecord::Base
#attr_accessor: remember_token
#before_create :create_remember_token
#生成记忆令牌(安全随机数),返回A-Z a-z 0-9 -_ 长度为22的随机字符串,每一位有64种可能
def self.new_remember_token
SecureRandom.urlsafe_base64
end
#加密算法
#def encrypt(token)
#Digest::SHA1.hexdigest(token.to_s)
#end
#返回指定字符串的哈希摘要(不可逆加密)
def self.digest(string)
cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST :
BCrypt::Engine.cost
BCrypt::Password.create(string, cost: cost)
end
#更新users表记忆令牌密文
def remember(remember_token)
user.update_attribute(:remember_digest,User.digest(remember_token))
end
#如果指定的令牌和摘要匹配,返回 true否则返回false
#remember_digest相当于self.remember_digest
#remember_token只是变量
def authenticated?(remember_token)
return false if remember_token.nil?
BCrypt::Password.new(remember_digest).is_password?(remember_token)
end
def forget
self.update_attribute(:remember_token,nil)
end
private
#创建记忆令牌
#def create_remember_token
#self.remember_digest = User.digest(User.new_remember_token)
#end
end
关于为什么在记住密码时,已经使用cookie.signed[:user_id] =user.id对cookie的用户ID进行加密了为什么还要使用记忆令牌的问题
因为一旦获取了加密的cookie攻击者就可以冒充该用户的身份进行登录,但是如果加了记忆令牌进行多重验证,即使攻击者获取了用户ID和记忆令牌进行登录,但是因为每次登录都会更改记忆令牌,退出会清空记忆令牌,所以冒充者最多只能维持登录状态到真正的用户退出
authenticated?方法
在 User 模型中定义的 authenticated? 方法,比较摘要(加密令牌)和令牌。这个方法的作用类似于注册模块中 has_secure_password 提供的用来认证用户的 authenticate 方法
注:参考了很多资料,发现在实现存储记忆令牌时,都是选择增加字段remember_digest存储记忆令牌密文,并且定义一个虚拟属性remember_token存储生成的记忆令牌明文,但是我觉着没必要新增一个虚拟属性直接用变量代替了,所以在本例中只增加了一个字段remember_digest,(差异主要体现在helper模块中的remember方法中,如果使用虚拟属性还要在model中声明attr_accessor: remember_token),如后续发现弊端会及时更新
参考:rails tutorial
