rails中的用户登录
devise是一个很好的用户登录gem。但还是想自己写个“轮子”,一则本来就是在学习rails,二则是了解了用户登录这一套机制后,对理解devise也有好处。加上rails tutorial中有很大的篇幅介绍用户登录,所以周末跟着练习,记录一下,加深印象。
本文只针对登录,并没有涉及到用户的注册,所以password_digest和password以用户password_confirmaion不会提及
-
首先需要创建user的model,包括name、email、password_digest、remeber_digest。还需要创建一个sessioncontroller来控制登录和退出
rails g model User name:string email:string password_digest:string remeber_digest:string rake db:migrate rails g controller users new
-
要在user.rb中调用has_secure_password的方法,同时在增加"bcrypt"的gem。另外还需要增加一个remeber_token的属性,该属性是一个随机的值,然后对该值进行加密存入到remeber_digest,从而理论上保证了唯一性
user.rb
attr_accessor :remeber_token has_secure_password
Gemfile
```
gem 'bcrypt' -
routes.rb中增加登录用的路由
get 'login' => 'sessions#new' post 'login' => 'sessions#create' delete 'logout' => 'sessions#destroy'
-
相应的views/sessions/new.html.erb文件中编写登录页面
<div class="row"> <div class="col-md-6 col-md-offset-3"> <%= form_for :session, url: login_url, method: :post do |f| %> <%= f.label :login %> <%= f.text_field :login, class: "form-control", placeholder: "input your name or email" %> <%= f.label :password %> <%= f.password_field :password, class: "form-control" %> <%= f.label :remeber_me, class: "checkbox inline" do %> <%= f.check_box :remeber_me %> <span>Remeber me on this computer</span> <% end -%> <%= f.submit "Log in", class: "btn-primary" %> <% end -%> <p>New user?<%= link_to "Sign up now!", signup_path %></p> </div> </div>
至此,准备工作基本完成,其中user.remeber_digest这个属性是用来验证用户持久性会话状态的。而bcrypt这个gem主要用来进行加密。
开始实现用户登录.
-
首先编写controller中的内容。
class SessionsController < ApplicationController #引入SessionsHelper moudle,这样就可以调用该moudle中的方法了 include SessionsHelper def new end def create login = params[:session][:login] password = params[:session][:password] #User.find_by_login(login)是新增加的一个类方法,用来实现name或者email的登录 user = User.find_by_login(login) #authenticate是has_secure_password引入的一个方法,用来判断user的密码与页面中传过来的密码是否一致 if user && user.authenticate(password) log_in(user) #SessionsHelper中的方法 #判断是否要持续性的记住用户的登录状态 params[:session][:remeber_me] == "1" ? remeber(user) : forget(user) redirect_to user_path(user) else flash.now[:danger] = "Invalid login or password." render 'new' end end def destroy log_out if logged_in? #SessionsHelper中的方法 redirect_to root_path end end
-
登录的核心方法都写在SessionsHelper中。
思路是:用session[:user_id]来记住临时的登录状态,一旦浏览器关闭或者退出,session中的内容就被清空。而用cookies[:user_id]来持久性的记住用户的登录状态,因为cookies是存在本地浏览器中的,所以这样会有安全问题,因此在存cookies[:user_id]的同时,还存放了cookies[:remeber_token]做为身份验证,一旦这个值成数据库中记录的remeber_digest不一致。则不能登录。module SessionsHelper #一旦账号密码正确,则成功登录,同时在session中记录session[:user_id] def log_in(user) session[:user_id] = user.id end #如果用户允许在本地保存登录信息,则保存cookies def remeber(user) #先把本次登录的remeber_token保存至数据库 user.remeber #然后把remeber_token保存到cookies中,同时把user_id也保存在cookies中 # cookies[:remeber_token] = { value: user.remeber_token, expires: 10.days.from_now.utc} # cookies.signed[:user_id] = { value: user.id, expires: 10.days.from_now.utc} cookies.permanent[:remeber_token] = user.remeber_token cookies.permanent.signed[:user_id] = user.id end #获取当前登录用户,如未登录,则为nil.@current_user这个实例变量是为了避免每次调用current_user方法都去查询一遍数据库的情况。 def current_user #先判断session中是否为nil if (user_id = session[:user_id]) @current_user ||= User.find_by(id: user_id) #再判断cookies中是否保存了登录信息 else (user_id = cookies.signed[:user_id]) user = User.find_by(id: user_id) #如果cookies中保存了,再用authenticated?这个方法判断cookies[:remeber_token]或者数据库中的remeber_digest是否一致。 if user && user.authenticated?(cookies[:remeber_token]) log_in(user) @current_user = user end end end #用来判断用户是否登录的方法 def logged_in? !current_user.nil? end #用来清空持久性登录信息 def forget(user) user.forget #将user.remeber_digest重置为nil #删除cookies中的登录信息 cookies.delete(:user_id) cookies.delete(:remeber_token) end #退出,同时删除session中的信息 def log_out forget(current_user) session.delete(:user_id) @current_user = nil end end
-
在user.rb中编写代码,用来支持controller和Helper中的方法.
#用来加密remeber_token,然后保存到数据库中的remeber_digest中去 def self.digest(string) cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost BCrypt::Password.create(string, cost: cost) end #生成随机的字符串 def self.new_token SecureRandom.urlsafe_base64 end #每次登录成功或者注册后,都会调用remeber的方法,将remeber_token这个随机字符串加密后更新到数据库中的remeber_digest的值 def remeber self.remeber_token = User.new_token self.update_attribute(:remeber_digest, User.digest(remeber_token)) end #用来判断cookies[:remeber_token]中的值通过BCrypt加密后,是否与数据库中的一致 def authenticated?(remeber_token) return false if remeber_digest.nil? BCrypt::Password.new(remeber_digest).is_password?(remeber_token) end #退出登录时调用,将数据库是的rember_digest值置为nil def forget self.update_attribute(:remeber_digest, nil) end