1、功能描述
(1)登录需要填写信息:邮箱、密码。当邮箱没有注册需要进行相应的提示。
(2)将数据库保存的密码解密后,与用户在页面输入的密码作对比,相同可登录。
(3)用户角色为管理员时,需要判断这个账号的状态,状态为未激活时(status为1),需要flash.notice提醒激活。
2、编辑controller、view、路由
(1)在路由文件config/routes.rb中添加路由,通过此链接来提交在登录页面提交的信息
post 'create_login' => 'accounts#create_login'
(2)编辑views/accounts/login.html.erb文件,将form_tag后面的链接改成/create_login
<!--原代码-->
<%= form_tag "#" do %>
<!--改为-->
<%= form_tag "/create_login" do %>
(3)在accounts_controller.rb中添加create_login方法
def create_login
end
3、获取页面提交的数据,实现登录功能
(1)rails s启动项目,在浏览器中打开注册页面http://localhost:3000/login(注意mac电脑是http://192.168.33.10:3000/login)随便填写信息,点击登录按钮,回到终端,能看到终端返回的日志中包含以下params数据。
Parameters: {"utf8"=>"✓", "email"=>"猫宁", "password"=>"[FILTERED]", "commit"=>"登录"}
因为我们在root文件中指定了post 'create_login' => 'accounts#create_login',所以数据提交到链接/create_login时,会用我们在accounts_controller中的create_login方法来获取并处理。
params是一个哈希,里面有4个key分别为utf8、email、password、commit,在create_login方法中取出email的值应该像下面这样:
email = params[:email]
在注册时取email的值是email = params[:account][:email],因为from_tag和form_for的区别。可以回头复习一下,我们在3.4章中讲过。
(2)回到sublime,编辑我们刚刚在accounts_controller.rb中添加的create_login方法,实现登录功能
def create_login
#从params中取email、password的值
#strip是去除字符串头部和尾部的空格的方法
email = params[:email].strip
password_html = params[:password].strip
#通过email查找用户
account = Account.find_by(email:email)
#如果用户存在,进行下面判断
if account
#用户的身份为管理员,状态为激活,密码正确,可以登录成功
if account.role == 1 && account.status == 0
#数据库存储的密码解密与用户输入的密码作对比
if Des.des_decode(account.password).to_s == password_html
flash.notice = "登录成功!"
redirect_to :root
else
flash.notice = "用户名密码错误!"
render :login
end
#如果用户为管理员身份,状态为未激活,需要提示激活信息
elsif account.role == 1 && account.status == 1
flash.notice = "您的用户未激活,请超级管理员激活后再重新登录"
render :login
#其他类型的客户,密码正确,可以登录
else
if Des.des_decode(account.password).to_s == password_html
flash.notice = "登录成功!"
redirect_to :root
else
flash.notice = "用户名密码错误!"
render :login
end
end
#如果用户不存在,需要提示用户去注册
else
flash.notice = "用户不存在,请先注册"
render :login
end
end
代码解析:
redirect_to :root
:root指的是在路由文件中root路由root 'home#index', 登录成功后,页面自动跳转到网站主页面
4、用session保存已登录的用户id,在没有关闭浏览器的情况下,一直保持登录状态
(1)编辑create_login方法,加入session,session是Rails中原本就有的方法,可以直接拿来用。
在flash.notice = "登录成功!"代码的上面添加一行代码。
!!!注意在create_login方法中有两处这样的代码,都要加上
session[:account_id] = account.id
#参考代码,无需粘贴
#flash.notice = "登录成功!"
(2)在application_controller.rb文件,添加check_login方法,该方法用来检查当前是否有用户登录。
这个方法几乎在每个页面都需要加载,所以我们写在application_controller.rb里面
def check_login
@current_user ||= session[:account_id] && Account.find(session[:account_id])
end
代码解析:
@current_user ||= session[:account_id] && Account.find(session[:account_id])
代码意思为:如果@current_user不为空,直接返回@current_user。如果@current_user为空,则查看session中的account_id值是否存在,如果存在则查找session中的account_id对应的用户信息并返回。如果没有登录则返回空。
相当于下面的代码:
def current_user
if @current_user
@current_user
else
if session[:account_id]
@current_user = Account.find(session[:account_id])
else
@current_user = nil
end
@current_user
end
end
||=符号的含义:
a ||= “hello” 当a为nil时,a的值为"hello";当a不为nil,返回a本身的值。
- a ||= 3
返回值为a = 3- b = 2
b ||= 3
b已经被赋值,返回值为2
(3)在home_controller.rb文件中添加下面一行代码
#参考代码,无需粘贴
#class HomeController < ApplicationController
before_action :check_login, only:[:index]
代码解析:
-
before_action :check_login, only:[:index]
代码意思为:在每次执行index方法之前,都要先执行application_controller.rb中的check_login方法,检查目前是否有用户登录。 -
before_action :check_login
去掉only限制,意思为:在home_controller中的每个action方法执行之前,都要先执行check_login方法
(4)在accouns_controller.rb中添加下面一行代码
#参考代码,无需粘贴
#class AccountsController < ApplicationController
before_action :check_login, except:[:signup,:create_account,:login,:create_login,:logout]
代码解析:
在accouns_controller.rb中所有的action方法中,除了signup、create_account、login、create_login、logout方法。其他action执行前都要先执行application_controller.rb中的check_login方法,检查目前是否有用户登录。
(5)rails s启动项目,打开登录页面,登录上一节注册的账号,测试是否保存了session。我们测试主要是帮助大家更加深入了解一下session。
登录成功后,在主页面任意位置点击右键—检查(Windows系统按F12键)—Application—Cookies里面有一个session
说明session已经保存成功了。这是Chrome浏览器的检查方法。
5、主页面右上角显示
登录成功后,页面头部右测应该显示用户名称等信息,左侧根据用户角色的不同显示相应的信息,而不是登录注册链接
在views/layouts/application.html.erb文件中,修改下面信息:
<!--原代码-->
<ul class="nav right">
<li><%= link_to "登录","/login" %></li>
<li><%= link_to "注册","/signup" %></li>
</ul>
<!--改为-->
<ul class="nav left">
<!--当前有用户登录,并且该用户为管理员,显示关于、用户管理、帖子管理-->
<% if @current_user && @current_user.role == 1 %>
<li><%= link_to "关于","#" %></li>
<li><%= link_to "用户管理","#" %></li>
<li><%= link_to "帖子管理", "#"%></li>
<!--当前有用户登录,并且该用户为超级管理员,显示关于、管理员账户激活-->
<% elsif @current_user && @current_user.role == 2 %>
<li><%= link_to "关于","#" %></li>
<li><%= link_to "管理员账户激活", "#" %></li>
<!--当前有用户登录,并且该用户为普通用户,显示关于-->
<% elsif @current_user && @current_user.role == 0 %>
<li><%= link_to "关于","#" %></li>
<% end %>
</ul>
<ul class="nav right">
<!--当前有用户登录,右侧显示该用户的相关信息-->
<% if @current_user %>
<li><%= link_to "用户名:"+@current_user.name,"#" %></li>
<li><%= link_to "权限:"+Account::ROLE[@current_user.role],"#"%></li>
<li><%= link_to "退出","#",method:'delete' %></li>
<!--当前没有用户登录,右侧显示注册、登录链接-->
<% else %>
<li><%= link_to "登录","/login" %></li>
<li><%= link_to "注册","/signup" %></li>
<% end %>
</ul>
现在用不同角色的账号登录后,主页面会显示当前用户信息以及对应的功能信息了
6、退出登录,注销session
(1)routes.rb中加上
delete 'logout' => "accounts#logout"
delete、post、get有什么区别呢?
get,post,put,delete是与服务器交互的4种方法,对应着查,改,增,删4个操作。
get一般用于获取数据的,post一般用于更新数据。对资源的增,删,改,查操作,其实都可以通过get、post完成,不需要用到put和delete。
其实这4种交互方法的使用没有强制要求,但是我们尽量按照规范来。
(2)accounts_controller.rb中加上相应action方法
点击退出链接,通过/logout链接执行logout方法,将session[:account_id]的值置为nil,并且重定向到主页面。
def logout
#将session[:account_id]置为空
session[:account_id] = nil
redirect_to :root
end
(3)修改views/layouts/application.html.erb,加上/logout链接
<!--原代码-->
<li><%= link_to "退出","#",method:'delete' %></li>
<!--改为-->
<li><%= link_to "退出","/logout",method:'delete' %></li>
7、将session换成cookie来持久化登录
(1)session和cookie的区别
- session以文件的形式存储在web服务器上,适合存储临时数据。cookie以文件的形式存储到计算机本地,存储数据时间长
- 如果网站关闭或者关机重启了,session数据可能会丢失,但是cookie数据不会出现这种问题
- cookie数据存储在本地,数据容易被伪造,安全性不高
(2)修改login.html.erb页面,添加「记住账号」勾选框,粘贴下面四行代码到文件中
<dl class="form remember-me">
<%= check_box_tag :remember_me, 1, params[:remember_me] %>
<%= label_tag "记住账号" %>
</dl>
<!--参考代码,无需粘贴-->
<!--<p><%= submit_tag "登录", :class => "login-button btn btn-primary" %></p>-->
(3)因为cookie数据存储在本地,如果直接存储account_id数据很容易被伪造,所以我们给用户生成属于这个用户唯一的16位随机数,来替代account_id代表这个用户。
A、需要再account表中添加一个新的字段来保存这个16位随机数,我们给这个字段取名为auth_token,在项目命令行下执行下面代码:
/vagrant/data_system$ rails g migration AddAuthTokenToAccounts auth_token:string
#系统返回信息,产生了一个映射文件
create db/migrate/20180928104207_add_auth_token_to_accounts.rb
#将新创建的映射文件映射到数据库中
/vagrant/data_system$ rake db:migrate
#系统返回信息
== 20180928104207 AddAuthTokenToAccounts: migrating ===========================
-- add_column(:accounts, :auth_token, :string)
-> 0.0259s
== 20180928104207 AddAuthTokenToAccounts: migrated (0.0272s) ==================
B、在app/models/account.rb文件中添加以下代码
添加的generate_token方法中,代码的意思为,先将auth_token字符置为nil,再运行auth_token = SecureRandom.urlsafe_base64方法生成16位随机数,再通过while Account.exists?(auth_token:"#{auth_token}")条件来判断目前已保存的Account数据中是否存在刚刚生成的16位随机数据,如果存在则重新生成,直到不存在为止,虽然概率非常小,但我们需要保证auth_token的唯一性。最后将唯一的auth_token值保存到数据库中。
#参考代码,无需粘贴
#class Account < ApplicationRecord
before_create :generate_token
ROLE = {0 => "普通用户",1 => "管理员",2 => "超级管理员"}
def generate_token
auth_token = nil
begin
auth_token = SecureRandom.urlsafe_base64
Rails.logger.info "===auth_token==========#{auth_token}"
end while Account.exists?(auth_token:"#{auth_token}")
self.auth_token = auth_token
end
#参考代码,无需粘贴
#end
代码解析:
-
begin
代码..
end while 条件
是一种while循环格式,先执行代码,再看条件是否为true,为true就继续循环执行代码,为false就停止循环。至少会执行一次代码 -
before_create :generate_token
代码意思是,在account创建之前,先执行generate_token方法(刚刚在account.rb文件中创建的方法),也就是在account.save操作之前,会先调用generate_token方法,然后再进行保存操作 -
Rails.logger.info "===auth_token==========#{auth_token}"
一般在测试里面使用,将你想要展示的内容打印到日志里面,我们这行打印生成的auth_token,来确认auth_token成功生成了。 -
auth_token = SecureRandom.urlsafe_base64
Rails中生成16位随机数的一个方法,可以直接调用来生成16位随机数
C、处理老数据
我们之前创建的用户,auth_token字段都是空的,我们需要处理一下
#进入控制台
/vagrant/data_system$ rails c
#粘贴下列代码
Account.where(auth_token:nil).each do |a|
auth_token = nil
begin
auth_token = SecureRandom.urlsafe_base64
end while Account.exists?(auth_token:"#{auth_token}")
a.auth_token = auth_token
a.save
end
这样老数据也有auth_token字段啦
(4)将session有关的代码调整为cookies相关的代码
A、accounts_controller.rb中调整create_login方法,注意需要修改两处
#原代码
session[:account_id] = account.id
#改为
if params[:remember_me]
cookies.permanent[:auth_token] = account.auth_token
else
cookies[:auth_token] = account.auth_token
end
代码解析:
-
cookies.permanent[:auth_token]
勾选remember_me,permanent方法会使cookie的到期时间是20年 -
cookies[:auth_token]
不勾选remember_me,cookie的到期时间是1小时
B、accounts_controller.rb文件中调整logout方法
#原代码:
session[:account_id] = nil
#改为
cookies.delete(:auth_token)
C、application_controller.rb文件中调整check_login方法
#原代码
@current_user ||= session[:account_id] && Account.find(session[:account_id])
#改为
@current_user ||= cookies[:auth_token] && Account.find_by(auth_token:cookies[:auth_token])
D、测试
勾选remember_me登录,右键检查—Application下面有一个auth_token的cookie,到期时间是2038年,说明成功了
