rails中的用户登录

devise是一个很好的用户登录gem。但还是想自己写个“轮子”,一则本来就是在学习rails,二则是了解了用户登录这一套机制后,对理解devise也有好处。加上rails tutorial中有很大的篇幅介绍用户登录,所以周末跟着练习,记录一下,加深印象。
本文只针对登录,并没有涉及到用户的注册,所以password_digest和password以用户password_confirmaion不会提及

  1. 首先需要创建user的model,包括name、email、password_digest、remeber_digest。还需要创建一个sessioncontroller来控制登录和退出
    
        rails g model User name:string email:string password_digest:string remeber_digest:string
        rake db:migrate
        rails g controller users new
    
  2. 要在user.rb中调用has_secure_password的方法,同时在增加"bcrypt"的gem。另外还需要增加一个remeber_token的属性,该属性是一个随机的值,然后对该值进行加密存入到remeber_digest,从而理论上保证了唯一性
    user.rb
    attr_accessor :remeber_token has_secure_password
    Gemfile
    ```
    gem 'bcrypt'

    
    
  3. routes.rb中增加登录用的路由

         get 'login' => 'sessions#new'
         post 'login' => 'sessions#create'
         delete 'logout' => 'sessions#destroy'
    
  4. 相应的views/sessions/new.html.erb文件中编写登录页面

    <%= form_for :session, url: login_url, method: :post do |f| %> <%= f.label :login %> <%= f.text_field :login, class: "form-control", placeholder: "input your name or email" %> <%= f.label :password %> <%= f.password_field :password, class: "form-control" %> <%= f.label :remeber_me, class: "checkbox inline" do %> <%= f.check_box :remeber_me %> Remeber me on this computer <% end -%> <%= f.submit "Log in", class: "btn-primary" %> <% end -%>

    New user?<%= link_to "Sign up now!", signup_path %>

至此,准备工作基本完成,其中user.remeber_digest这个属性是用来验证用户持久性会话状态的。而bcrypt这个gem主要用来进行加密。
开始实现用户登录.

  1. 首先编写controller中的内容。

    
        class SessionsController < ApplicationController
          #引入SessionsHelper moudle,这样就可以调用该moudle中的方法了
          include SessionsHelper
          def new
          end
    
          def create
            login = params[:session][:login]
            password = params[:session][:password]
            #User.find_by_login(login)是新增加的一个类方法,用来实现name或者email的登录
            user = User.find_by_login(login)
            #authenticate是has_secure_password引入的一个方法,用来判断user的密码与页面中传过来的密码是否一致
            if user && user.authenticate(password)
              log_in(user) #SessionsHelper中的方法
              #判断是否要持续性的记住用户的登录状态
              params[:session][:remeber_me] == "1" ? remeber(user) : forget(user)
              redirect_to user_path(user)
            else
              flash.now[:danger] = "Invalid login or password."
              render 'new'
            end
          end
    
          def destroy
            log_out if logged_in? #SessionsHelper中的方法
            redirect_to root_path
          end
    end
    
  2. 登录的核心方法都写在SessionsHelper中。
    思路是:用session[:user_id]来记住临时的登录状态,一旦浏览器关闭或者退出,session中的内容就被清空。而用cookies[:user_id]来持久性的记住用户的登录状态,因为cookies是存在本地浏览器中的,所以这样会有安全问题,因此在存cookies[:user_id]的同时,还存放了cookies[:remeber_token]做为身份验证,一旦这个值成数据库中记录的remeber_digest不一致。则不能登录。

        module SessionsHelper
          #一旦账号密码正确,则成功登录,同时在session中记录session[:user_id]
          def log_in(user)
            session[:user_id] = user.id
          end
          #如果用户允许在本地保存登录信息,则保存cookies
          def remeber(user)
            #先把本次登录的remeber_token保存至数据库
            user.remeber
            #然后把remeber_token保存到cookies中,同时把user_id也保存在cookies中
            # cookies[:remeber_token] = { value: user.remeber_token, expires: 10.days.from_now.utc}
            # cookies.signed[:user_id] = { value: user.id, expires: 10.days.from_now.utc}
            cookies.permanent[:remeber_token] = user.remeber_token
            cookies.permanent.signed[:user_id] = user.id
          end
          #获取当前登录用户,如未登录,则为nil.@current_user这个实例变量是为了避免每次调用current_user方法都去查询一遍数据库的情况。
          def current_user
            #先判断session中是否为nil
            if (user_id = session[:user_id])
              @current_user ||= User.find_by(id: user_id)
            #再判断cookies中是否保存了登录信息
            else (user_id = cookies.signed[:user_id])
              user = User.find_by(id: user_id)
              #如果cookies中保存了,再用authenticated?这个方法判断cookies[:remeber_token]或者数据库中的remeber_digest是否一致。
              if user && user.authenticated?(cookies[:remeber_token])
                log_in(user)
                @current_user = user
              end
            end
          end
          #用来判断用户是否登录的方法
          def logged_in?
            !current_user.nil?
          end
          #用来清空持久性登录信息
          def forget(user)
            user.forget #将user.remeber_digest重置为nil
            #删除cookies中的登录信息
            cookies.delete(:user_id)
            cookies.delete(:remeber_token)
          end
          #退出,同时删除session中的信息
          def log_out
            forget(current_user)
            session.delete(:user_id)
            @current_user = nil
          end
        end
    
    
  3. 在user.rb中编写代码,用来支持controller和Helper中的方法.

          #用来加密remeber_token,然后保存到数据库中的remeber_digest中去
          def self.digest(string)
            cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
            BCrypt::Password.create(string, cost: cost)
          end
          #生成随机的字符串
          def self.new_token
            SecureRandom.urlsafe_base64
          end
          #每次登录成功或者注册后,都会调用remeber的方法,将remeber_token这个随机字符串加密后更新到数据库中的remeber_digest的值
          def remeber
            self.remeber_token = User.new_token
            self.update_attribute(:remeber_digest, User.digest(remeber_token))
          end
          #用来判断cookies[:remeber_token]中的值通过BCrypt加密后,是否与数据库中的一致
          def authenticated?(remeber_token)
            return false if remeber_digest.nil?
            BCrypt::Password.new(remeber_digest).is_password?(remeber_token)
          end
          #退出登录时调用,将数据库是的rember_digest值置为nil
          def forget
            self.update_attribute(:remeber_digest, nil)
          end
    

用户登录的功能基本完成,利用rails中的方法,可以很方便的实现登录功能###

你可能感兴趣的:(rails中的用户登录)