如何解决设计会话过期太快几小时,而不是几天 环境当前行为预期行为
我正在将其从 issue on the Devise repo 移出,因为我还不知道它实际上是一个错误。我希望有人能帮助我理解为什么我的设计会话超时如此之快。
环境
红宝石 2.7.2 导轨 6.1 设计 4.7.3
当前行为
我的目标是让会话持续大约 30 天,然后要求用户再次登录。使用股票设计,没有邀请,我在我的桌面浏览器上看到正确持久的会话时间,但在移动设备上看到短暂的会话(几天后,有时是几小时)。我意识到我可能需要使用 :timeoutable
我针对 User 模型安装了 :timeoutable
,在 29 天内在 devise.rb 中启用并设置了 config.timeout_in
。除了现在配置了 :timeoutable
而不是更长的 29 天会话之外,所有浏览器会话都会在大约一两个小时后关闭。
预期行为
在要求用户再次登录之前,会话应持续 29 天。
我觉得我遗漏了一些明显的东西,但我找不到。 :timeoutable
不是实现这一目标的正确方法吗?
更新:
将我的应用程序从子域移动到根域后,此问题自行解决。这实际上不是任何答案,但我想在此处添加它以用于上下文。除此之外,我认为下一个最佳答案是调整 Rails 原生 cookie 存储。
无论如何,我仍然不相信 timeoutable 是否正常工作。
解决方法
会话完全令人困惑,因为我们对许多不同的事物使用相同的术语。
首先是Rails提供的低级ActionDispatch::Session
机制。这由一组中间件组成,这些中间件将会话标识符(它标识跨请求连接到应用程序的客户端)与会话存储相链接。这确实可以跨请求持久保存任何类型的简单可序列化对象,虽然它最常用于身份验证,但它还可以执行其他操作,例如 flash 消息。
默认会话存储是 ActionDispatch::Session::CookieStore
,因为它是迄今为止最快的,但也有几个选项可以将会话数据存储在服务器上。您可以通过以下方式设置会话存储 cookie 的到期时间:
Rails.application.config.session_store :cookie_store,expire_after: 30.days
然后你可以称之为身份验证会话,它实际上只是在存储中存储一个声明(一个 id),这样用户就不必在每个会话中提供凭据(电子邮件、密码)要求。在 Devise 中,所有这些东西都由 Warden gem 处理。当您登录时,Warden 将该用户 ID 填充到会话存储中,并在您注销时将其删除。这会在您使用特定客户端时登录/退出。此处默认没有实际超时 - 它与会话存储 cookie 一样长。
这是 Timeoutable 模块的用武之地。它存储一个额外的时间戳和 id,如果时间戳已经过期,Warden 将拒绝存储在会话中的用户 id 并将其删除。并不是说如果 cookie 在此之前实际上已过期,则整个过程都没有实际意义。
,您可以简单地将其添加到您的用户模型中:
devise :timeoutable,timeout_in: 29.days
timeout_in
定义用户可以处于非活动状态以再次请求凭据的时间。也就是说,用户会话只有在 29 天内没有与其应用交互时才会过期。
请记住,要使用 :timeoutable
,不需要额外的列,而且这不适用于 remember_me
。
更多详情:Timeoutable
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。