参考链接
Module: Devise::Models::Lockable
How To: Add :lockable to Users
基于 How To: Add :lockable to Users 设定好 devise.rb 文件及在 user 中引入好 devise,别的几乎都不用做就可以实现登录失败次数限制并锁定账户的功能,devise 都帮我们做好了。
但是 devise 的 Lockable 只是针对登录失败次数超过限制锁定账户,如果针对重置密码也要做一样的操作,目前想到 2 种解决方案:
- 模仿 devise 的 failed_attempts 新增一个 pwd_failed_attempts
- 需要自己主动维护 pwd_failed_attempts
- 需要实现 pwd_failed_attempts 次数到达限制,锁定用户
- 需要在登录和重置密码两侧都增加判断,到期解锁后重置 pwd_failed_attempts
- 缺点:需要自定义和维护的部分较多,优点:做到独立限制,不和登录次数产生依赖
- 共用 failed_attempts,利用 devise 已经实现的 method
- 不需要单独维护 pwd_failed_attempts
- 需要手动在重置密码失败后累加 failed_attempts 及达到限制锁定,不过可以参考 devise 源码,较容易实现
- 只需要在重置密码的部分调用 devise 的 valid_for_authentication? 就可以实现次数累加及到期解锁功能
- 缺点:不可独立限制重置次数限制,和登录次数限制产生依赖,优点:可复用 devise 登录失败锁定机制
最后考量下,选择了方案 2。比较方便的实现了重置密码失败次数限制。
