问题描述
关于安全性的 Ruby on Rails Security Guide,在 2.9 Session Expiry 下给出了以下示例代码:
class Session < ApplicationRecord
def self.sweep(time = 1.hour)
if time.is_a?(String)
time = time.split.inject { |count,unit| count.to_i.send(unit) }
end
delete_all "updated_at < '#{time.ago.to_s(:db)}'"
end
end
如何将模型连接到 Devise / 到 Devise SessionController ? Devise 会使用这个模型吗?它会自动执行还是需要采取进一步措施?这个例子不是特定于 Rails 自己的 cookie/会话管理吗?如果是这样,与 Devise / Warden 的适当补充是什么?
谢谢
冯·斯波兹
解决方法
如果您要构建自己的身份验证系统,这些说明非常有用,但 Devise 可以为您处理。
在您的用户模型中,将 :timeoutable 属性添加到您现有的 devise 语句中。
在config/initializers/devise.rb中,您可以指定超时持续时间,例如:
config.timeout_in 30.minutes
如果一刀切的超时限制不能满足您的需求,您还有其他几种选择:
-
如果您的不同模型有自己的登录路径和不同的超时限制,您可以将
timeout_in添加到每个devise_for声明 如果您的用户模型中有标记(例如,某些用户有
admin: true),您可以向模型添加#timeout_in方法(请参阅 this entry in the Devise wiki)。
不过,在大多数情况下,使用配置文件是最好、最简单的方法。