The Kai Way

Pragmaticly hacking

Rails的用户认证

| Comments

最近自己写了写代码,研究了一下关于Rails中用户认证方面的知识。

Rails中的用户认证解决方法,看到大多数是靠插件实现,比如:

  • LoginGenerator
  • Acts_as_authenticated
  • restful_authentication

其中采用的方法都类似于《Agile Web 2e》的dopet示例的处理方法:

  • 通过虚拟的password属性来作为密码
  • 通过随机生成的salt和密码明文(或者MD5等方法)加密后存入数据库
  • 在controller中通过before_filter来阻止未通过认证的用户对action进行调用
  • 在view中通过如islogin?,isadmin?等方法来让保护需要登录或者为管理员的行为

插件中一般都是做出一个Model和两个Controller,处理用户数据的User。而Controller,一个负责登录和登出,另一个User的负责用户创建和删除。

关于记住用户状态的实现,大部分用户认证的插件都有。参考User+authentication+in+Ruby+on+Rails: 添加一个cookie_hash字段到user中:

class AddUserCookieHash < ActiveRecord::Migration
  def self.up
    add_column :users, :cookie_hash, :string
  end
  def self.down
    remove_column :users, :cookie_hash
  end
end

接着在登录页面,如login.html.erb中,加入:

remember me

然后在管理login的controller中添加:

def login
  if request.post?
    @user = User.find_by_username(params[:login])
    if @user and @user.password_is? params[:password]
      session[:uid] = @user.id
      # 当用户需要被记住时,开始对cookie进行处理
      # 对cookie生成一个密钥之后放入cookie和存入数据库(user表中)
      # 其中还指定了一个cookies失效时间,默认为30天,其实可以把这个参数提出来
      if params[:remember]
        cookie_pass = [Array.new(9){rand(256).chr}.join].pack("m").chomp
        cookie_hash = Digest::MD5.hexdigest(cookie_pass +         @user.password_salt)
        cookies[:userapp_login_pass] = { :value => cookie_pass, :expires => 30.days.from_now }
        cookies[:userapp_login] = { :value => @user.username, :expires => 30.days.from_now }
        User.update(@user.id, :cookie_hash => cookie_hash)
      end
      redirect_to :controller => 'panel', :action => 'secret'
    else
      @auth_error = 'Bad username or password'
    end
  end
end

最后在ApplicationController中加入:

session :session_key => '_userapp_session_id'
before_filter :check_cookie
def check_cookie
  return if session[:uid]
  if cookies[:logowanie_login]
    @user = User.find_by_username(cookies[:userapp_login])
    return unless @user
    cookie_hash = Digest::MD5.hexdigest(cookies[:userapp_login_pass] + @user.password_salt)
    if @user.cookie_hash == cookie_hash
      flash[:info] = 'You\'ve been automatically logged in' # annoying msg
      session[:uid] = @user.id
    else
      flash[:error] = 'Something is wrong with your cookie'
    end
  end
end

而关于角色的认证可以使用插件:ActiveRBAC