那些遇到过的问题

如何在Rails/w Devise中注销时使特定会话无效?

Sai*_*fis 6 session ruby-on-rails devise

我想在用户使用Devise注销时使会话无效,我有一个回调来捕获用户注销,以获得更多的防止会话劫持的保护. 

class ApplicationController < ActionController::Base
  def sign_out(*args)
    super(*args)
    reset_session
  end
end
Run Code Online (Sandbox Code Playgroud)

我的理解是,这将删除存储在服务器端的会话信息,从而使其无效.

但是我仍然可以使用我在退出之前获得的会话ID登录.我误解了它是如何工作的吗?我只想让这个会话无效,而不是全部.

我正在使用session_store的默认值.

Sai*_*fis 6

经过一些谷歌搜索和冥想,我来了这个问题,可以修改,以满足我的需要,

我所做的就是

application_controller.rb

  def sign_out(*args)
    current_user.update_attribute(:current_sign_in_token, "")
    super
  end
Run Code Online (Sandbox Code Playgroud)

这将使sign_in_token无效,从而使会话无效,因此劫持会话ID仍然会让你被踢出局.

归档时间:

查看次数:

2949 次

最近记录:

12 年,9 月 前
设计 - 如果同一用户从其他浏览器/计算机登录,则会使用户会话无效 5
更多相关链接
相关归档
Ruby on Rails:使用"rails generate controller welcome"时权限被拒绝 19
为什么ActiveRecord回调要求实例变量或实例方法以self关键字为前缀? 18
yield和provide()在模板中 18
为什么仍然可以在视图中访问私有辅助方法? 14
来自Django的Rails 13
Ruby on Rails:如何在不使用find时清理SQL的字符串? 12
从ASP.NET转向Ruby on Rails 11
表单身份验证是否完全必要 4
JSP Servlet会话invalidate()不会使会话为空 4
无法从简单的新手表单中获取$ _SESSION中的信息 0
难疑归档
不同浏览器中URL的最大长度是多少? 4676
如何在Windows上安装pip? 2469
如何在Java中声明和初始化数组? 1946
Bower和npm有什么区别? 1723
如何按字典值对字典列表进行排序? 1722
如何显示JavaScript对象? 1520
在C++中将int转换为字符串的最简单方法 1488
将文件从主机复制到Docker容器 1391
我在哪里可以找到有关在JavaScript中格式化日期的文档? 1381
适用于PDF文件的MIME媒体类型 1229