关于ruby：在Rails应用程序中实现“记住我”

我的Rails应用程序有一个带有"记住我"复选框的登录框。 选中该复选框的用户即使关闭浏览器也应保持登录状态。 我通过将其ID存储在用户的会话中来跟踪用户是否已登录。

但是会话在Rails中作为会话cookie实现，但不是持久性的。 我可以使它们持久化：

但这似乎是一种骇客，对于如此常见的功能而言令人惊讶。 有什么更好的办法吗？

编辑

Gareth的答案相当不错，但是我仍然希望熟悉Rails 2的人提供答案(因为它是唯一的CookieSessionStore)。

您几乎应该确定不会延长会话cookie的寿命。

尽管没有专门讨论Rails，但本文还是花了一些时间来解释"记住我"的最佳实践。

总之，您应该：

• 向用户表添加额外的列以接受较大的随机值
• 在客户端上设置一个长期存在的cookie，该cookie结合了用户ID和随机值
• 当新会话开始时，请检查是否存在id / value cookie，并在新用户匹配时对其进行身份验证。

作者还建议使随机值无效，并在每次登录时重置cookie。我个人不喜欢那样，因为那样一来您就无法保持登录两台计算机上的站点。我倾向于确保我的密码更改功能也重置随机值，从而锁定其他计算机上的会话。

最后一点，他给出的关于使某些功能(密码更改/电子邮件更改等)无法用于自动身份验证的会话的建议非常值得遵循，但在现实世界中很少见。

我花了一段时间思考这个问题，并得出了一些结论。默认情况下，Rails会话cookie是防篡改的，因此您不必担心在客户端上修改cookie。

这是我所做的：

• 会话Cookie被设置为长期(6个月左右)
• 在会话存储中
  • "到期时间"日期设置为登录+ 24小时
  • 用户身份
  • Authenticated = true，因此我可以允许匿名用户进行处理(由于cookie篡改保护而没有危险)
• 我在应用程序控制器中添加了一个before_filter，用于检查会话的"过期时间"部分。

当用户选中"记住我"框时，我只是将会话[：expireson]日期设置为登录+ 2周。因为Rails会话cookie是防篡改的，所以没有人可以窃取该cookie并永远保持登录状态或伪装成另一个用户。

我建议您要么看一下具有此实现的RESTful_Authentication插件，要么只是切换您的实现以使用RESTful Authentication_plugin。在Railscasts中有关于如何使用此插件的很好的解释：

railscasts＃67 restful_authentication

这是插件本身的链接

restful_authentication

restful_authentication插件对此有一个很好的实现：

http://agilewebdevelopment.com/plugins/restful_authentication

请注意，您不想保留他们的会话，而只想保留他们的身份。当他们返回您的网站时，您将为他们创建一个新的会话。通常，您只需为用户分配一个GUID，将其写入他们的cookie，然后在他们回来时使用它来查找他们。不要使用他们的登录名或用户ID作为令牌，因为很容易猜到令牌，并允许狡猾的访问者劫持其他用户的帐户。

我会去Devise寻求出色的Rails身份验证解决方案。

这对我来说就像是一种魅力：

http://squarewheel.wordpress.com/2007/11/03/session-cookie-expiration-time-in-rails/

现在，我的CookieStore会话将在两周后到期，因此用户必须再次提交其登录凭据才能持续登录另外两周。

基本上，它很简单：