设计会话过期太快几小时，而不是几天 环境当前行为预期行为

会话完全令人困惑，因为我们对许多不同的事物使用相同的术语。

首先是Rails提供的低级ActionDispatch::Session机制。这由一组中间件组成，这些中间件将会话标识符（它标识跨请求连接到应用程序的客户端）与会话存储相链接。这确实可以跨请求持久保存任何类型的简单可序列化对象，虽然它最常用于身份验证，但它还可以执行其他操作，例如 flash 消息。

默认会话存储是 ActionDispatch::Session::CookieStore，因为它是迄今为止最快的，但也有几个选项可以将会话数据存储在服务器上。您可以通过以下方式设置会话存储 cookie 的到期时间：

Rails.application.config.session_store :cookie_store,expire_after: 30.days

然后你可以称之为身份验证会话，它实际上只是在存储中存储一个声明（一个 id），这样用户就不必在每个会话中提供凭据（电子邮件、密码）要求。在 Devise 中，所有这些东西都由 Warden gem 处理。当您登录时，Warden 将该用户 ID 填充到会话存储中，并在您注销时将其删除。这会在您使用特定客户端时登录/退出。此处默认没有实际超时 - 它与会话存储 cookie 一样长。

这是 Timeoutable 模块的用武之地。它存储一个额外的时间戳和 id，如果时间戳已经过期，Warden 将拒绝存储在会话中的用户 id 并将其删除。并不是说如果 cookie 在此之前实际上已过期，则整个过程都没有实际意义。

您可以简单地将其添加到您的用户模型中：

devise :timeoutable,timeout_in: 29.days

timeout_in 定义用户可以处于非活动状态以再次请求凭据的时间。也就是说，用户会话只有在 29 天内没有与其应用交互时才会过期。

请记住，要使用 :timeoutable，不需要额外的列，而且这不适用于 remember_me。

更多详情：Timeoutable