devise lockable 登录、重置密码失败次数限制及账户

参考链接
Module: Devise::Models::Lockable
How To: Add :lockable to Users

基于 How To: Add :lockable to Users 设定好 devise.rb 文件及在 user 中引入好 devise，别的几乎都不用做就可以实现登录失败次数限制并锁定账户的功能，devise 都帮我们做好了。

但是 devise 的 Lockable 只是针对登录失败次数超过限制锁定账户，如果针对重置密码也要做一样的操作，目前想到 2 中解决方案：

1. 模仿 devise 的 failed_attempts 新增一个 pwd_failed_attempts
   • 需要自己主动维护 pwd_failed_attempts
   • 需要实现 pwd_failed_attempts 次数到达限制，锁定用户
   • 需要在登录和重置密码两侧都增加判断，到期解锁后重置 pwd_failed_attempts
   • 缺点：需要自定义和维护的部分较多，优点：做到独立限制，不和登录次数产生依赖
2. 共用 failed_attempts，利用 devise 已经实现的 method
   • 不需要单独维护 pwd_failed_attempts
   • 需要手动在重置密码失败后累加 failed_attempts 及达到限制锁定，不过可以参考 devise 源码，较容易实现
   • 只需要在重置密码的部分调用 devise 的 valid_for_authentication? 就可以实现次数累加及到期解锁功能
   • 缺点：不可独立限制重置次数限制，和登录次数限制产生依赖，优点：可复用 devise 登录失败锁定机制

最后考量下，选择了方案 2。比较方便的实现了重置密码失败次数限制。