在Rails应用程序中实现“记住我”

我花了一段时间思考这个问题,得出了一些结论。默认情况下,Rails会话cookie是防篡改的,因此您不必担心在客户端修改cookie。

以下是我所做的:

• 会话cookie设置为长寿(6个月左右)
• 在会话存储区内
  • 设置为登录+24小时的“到期日”
  • 用户ID
  • authenticated=true,因此我可以允许匿名用户评估(因为cookie篡改保护而不危险)
• 我在应用程序控制器中添加了一个before_过滤器,用于检查会话的“expires on”部分。

当用户选中“记住我”框时,我只是将会话[:expireson]日期设置为登录+2周。没有人可以窃取cookie并永久登录,或者伪装成另一个用户,因为Rails会话cookie是防篡改的。

几乎可以肯定,您不应该将会话cookie扩展为长寿。

虽然没有专门处理铁轨 this article 详细解释“记住我”的最佳实践。

总之,你应该:

• 向用户表中添加额外的列以接受大的随机值
• 在客户端上设置一个长寿命cookie,该cookie将用户ID和随机值组合在一起
• 当新会话启动时,检查是否存在ID/值cookie,如果匹配,则对新用户进行身份验证。

作者还建议使随机值无效,并在每次登录时重置cookie。就个人而言,我不喜欢这样,因为你不能在两台电脑上登录一个网站。我倾向于确保我的密码更改功能也会重置随机值,从而锁定其他机器上的会话。

最后一点要注意的是,他给出的关于使某些功能(密码更改/电子邮件更改等)不可用于自动认证会话的建议值得关注,但在现实世界中很少见到。

我建议您要么看一下Restful_身份验证插件,它实现了这一点,要么将您的实现切换为使用Restful身份验证插件。关于如何在Railscants上使用此插件有一个很好的解释:

railscasts #67 restful_authentication

这里有一个到插件本身的链接

restful_authentication

restful_身份验证插件很好地实现了这一点:

http://agilewebdevelopment.com/plugins/restful_authentication

注意,你不想坚持他们的会话,只想坚持他们的身份。当他们返回到您的站点时,您将为他们创建一个新的会话。通常,您只需为用户分配一个guid,将其写入他们的cookie,然后在他们回来时使用它来查找他们。不要使用他们的登录名或用户ID作为令牌,因为它很容易被猜到,并且允许狡猾的访问者劫持其他用户的帐户。

这是一篇很好的关于一个家伙创造30天持续会议经验的文章。

警告:博客帖子来自2006年

http://grahamglass.blogs.com/main/2006/05/rails_sessionsr.html

我会为Rails设计一个出色的身份验证解决方案。

这对我来说很有吸引力:

http://squarewheel.wordpress.com/2007/11/03/session-cookie-expiration-time-in-rails/

现在,我的CookieStore会话将在两周后到期,因此用户必须再次提交登录凭证,以便持续登录两周。

基本上,它简单如下:

1. 在vendor/plugins目录中包含一个文件
2. 仅使用一行在应用程序控制器中设置会话到期值