【Ruby on Rails实战】3.6 登录功能

1、功能描述

（1）登录需要填写信息：邮箱、密码。当邮箱没有注册需要进行相应的提示。
（2）将数据库保存的密码解密后，与用户在页面输入的密码作对比，相同可登录。
（3）用户角色为管理员时，需要判断这个账号的状态，状态为未激活时(status为1)，需要flash.notice提醒激活。

2、编辑controller、view、路由

（1）在路由文件config/routes.rb中添加路由，通过此链接来提交在登录页面提交的信息

post 'create_login' => 'accounts#create_login'

（2）编辑views/accounts/login.html.erb文件，将form_tag后面的链接改成/create_login

#原代码
<%= form_tag "#" do %>
#改为
<%= form_tag "/create_login" do %>

（3）在accounts_controller.rb中添加create_login方法

def create_login
end

3、获取页面提交的数据，实现登录功能

（1）rails s启动项目，在浏览器中打开注册页面http://localhost:3000/login（注意mac电脑是http://192.168.33.10:3000/login）随便填写信息，点击登录按钮，回到终端，能看到终端返回的日志中包含以下params数据。

• Parameters: {"utf8"=>"✓", "email"=>"猫宁", "password"=>"[FILTERED]", "commit"=>"登录"}

因为我们在root文件中指定了post 'create_login' => 'accounts#create_login'，所以数据提交到链接/create_login时，会用我们在accounts_controller中的create_login方法来获取并处理。
params是一个哈希，里面有4个key分别为utf8、email、password、commit，在create_login方法中取出email的值应该像下面这样：

email = params[:email]

在注册时取email的值是email = params[:account][:email],因为from_tag和form_for的区别。可以回头复习一下，我们在3.4章中讲过。

（2）回到sublime，编辑我们刚刚在accounts_controller.rb中添加的create_login方法，实现登录功能

def create_login
  #从params中取email、password的值
  #strip是去除字符串头部和尾部的空格的方法
  email = params[:email].strip
  password_html = params[:password].strip
  #通过email查找用户
  account = Account.find_by(email:email)
  #如果用户存在，进行下面判断
  if account
    #用户的身份为管理员，状态为激活，密码正确，可以登录成功
    if account.role == 1 && account.status == 0
      #数据库存储的密码解密与用户输入的密码作对比
      if Des.des_decode(account.password).to_s == password_html
        flash.notice = "登录成功！"
        redirect_to :root
      else
        flash.notice = "用户名密码错误!"
        render :login
      end
    #如果用户为管理员身份，状态为未激活，需要提示激活信息
    elsif account.role == 1 && account.status == 1
      flash.notice = "您的用户未激活,请超级管理员激活后再重新登录"
      render :login
    #其他类型的客户，密码正确，可以登录
    else
      if Des.des_decode(account.password).to_s == password_html
        flash.notice = "登录成功！"
        redirect_to :root
      else
        flash.notice = "用户名密码错误!"
        render :login
      end
    end
  #如果用户不存在，需要提示用户去注册
  else
    flash.notice = "用户不存在，请先注册"
    render :login
  end   
end

代码解析：

• redirect_to :root
  :root指的是在路由文件中root路由root 'home#index'， 登录成功后，页面自动跳转到网站主页面

4、用session保存已登录的用户id，在没有关闭浏览器的情况下，一直保持登录状态

（1）编辑create_login方法，加入session，session是Rails中原本就有的方法，可以直接拿来用。

在flash.notice = "登录成功！"代码的上面添加一行代码。

session[:account_id] = account.id
#参考代码，无需粘贴
#flash.notice = "登录成功！"

！！！注意在create_login方法中有两处这样的代码，都要加上

（2）在application_controller.rb文件，添加check_login方法，该方法用来检查当前是否有用户登录。

这个方法几乎在每个页面都需要加载，所以我们写在application_controller.rb里面

def check_login
  @current_user ||= session[:account_id] &&     Account.find(session[:account_id])
end

代码解析：

• @current_user ||= session[:account_id] && Account.find(session[:account_id])
  代码意思为：如果@current_user不为空，直接返回@current_user。如果@current_user为空，则查看session中的account_id值是否存在，如果存在则查找session中的account_id对应的用户信息并返回。如果没有登录则返回空。
  相当于下面的代码：

def current_user 
  if @current_user 
    @current_user 
  else 
    if session[:account_id] 
      @current_user = Account.find(session[:account_id]) 
    else 
      @current_user = nil 
    end 
    @current_user 
  end
end 

||=符号的含义：
a ||= “hello” 当a为nil时，a的值为"hello"；当a不为nil，返回a本身的值。

• a ||= 3
  返回值为a = 3
• b = 2
  b ||= 3
  b已经被赋值，返回值为2

（3）在home_controller.rb文件中添加下面一行代码

#参考代码，无需粘贴
#class HomeController < ApplicationController
before_action :check_login, only:[:index]

代码解析：

• before_action :check_login, only:[:index]
  代码意思为：在每次执行index方法之前，都要先执行application_controller.rb中的check_login方法，检查目前是否有用户登录。

• before_action :check_login
  去掉only限制，意思为：在home_controller中的每个action方法执行之前，都要先执行check_login方法

（4）在accouns_controller.rb中添加下面一行代码

#参考代码，无需粘贴
#class AccountsController < ApplicationController
before_action :check_login, except:[:signup,:create_account,:login,:create_login,:logout]

代码解析：
在accouns_controller.rb中所有的action方法中，除了signup、create_account、login、create_login、logout方法。其他action执行前都要先执行application_controller.rb中的check_login方法，检查目前是否有用户登录。

（5）rails s启动项目，打开登录页面，登录上一节注册的账号，测试是否保存了session。我们测试主要是帮助大家更加深入了解一下session。

登录成功后，在主页面任意位置点击右键—检查（Windows系统按F12键）—Application—Cookies里面有一个session

session

说明session已经保存成功了。这是Chrome浏览器的检查方法。

5、主页面右上角显示

登录成功后，页面头部右测应该显示用户名称等信息，左侧根据用户角色的不同显示相应的信息，而不是登录注册链接
在views/layouts/application.html.erb文件中,修改下面信息：

<!--原代码-->
<ul class="nav right">
  <li><%= link_to "登录","/login" %></li>
  <li><%= link_to "注册","/signup" %></li>
</ul>

<!--改为-->
<ul class="nav left">
<!--当前有用户登录，并且该用户为管理员，显示关于、用户管理、帖子管理-->
  <% if @current_user && @current_user.role == 1 %>
    <li><%= link_to "关于","#" %></li>
    <li><%= link_to "用户管理","#" %></li>
    <li><%= link_to "帖子管理", "#"%></li>
<!--当前有用户登录，并且该用户为超级管理员，显示关于、管理员账户激活-->
  <% elsif @current_user && @current_user.role == 2 %>
    <li><%= link_to "关于","#" %></li>
    <li><%= link_to "管理员账户激活", "#" %></li>
<!--当前有用户登录，并且该用户为普通用户，显示关于-->
  <% elsif @current_user && @current_user.role == 0 %>
    <li><%= link_to "关于","#" %></li>
  <% end %>
</ul>
<ul class="nav right">
  <!--当前有用户登录，右侧显示该用户的相关信息-->
  <% if @current_user %>
    <li><%= link_to "用户名:"+@current_user.name,"#" %></li>
    <li><%= link_to "权限:"+Account::ROLE[@current_user.role],"#"%></li>
    <li><%= link_to "退出","#",method:'delete' %></li>
  <!--当前没有用户登录，右侧显示注册、登录链接-->
  <% else %>
    <li><%= link_to "登录","/login" %></li>
    <li><%= link_to "注册","/signup" %></li>
  <% end %>
</ul>

现在用不同角色的账号登录后，主页面会显示当前用户信息以及对应的功能信息了

6、退出登录，注销session

（1）routes.rb中加上

delete 'logout' => "accounts#logout"

delete、post、get有什么区别呢？
get，post，put，delete是与服务器交互的4种方法，对应着查，改，增，删4个操作。
get一般用于获取数据的，post一般用于更新数据。对资源的增，删，改，查操作，其实都可以通过get、post完成，不需要用到put和delete。
其实这4种交互方法的使用没有强制要求，但是我们尽量按照规范来。

（2）accounts_controller.rb中加上相应action方法

点击退出链接，通过/logout链接执行logout方法，将session[:account_id]的值置为nil，并且重定向到主页面。

def logout
  #将session[:account_id]置为空
  session[:account_id] = nil
  redirect_to :root
end

3）修改views/layouts/application.html.erb，加上/logout链接

<!--原代码-->
<li><%= link_to "退出","#",method:'delete' %></li>
<!--改为-->
<li><%= link_to "退出","/logout",method:'delete' %></li>

7、将session换成cookie来持久化登录

（1）session和cookie的区别

• session以文件的形式存储在web服务器上，适合存储临时数据。cookie以文件的形式存储到计算机本地，存储数据时间长
• 如果网站关闭或者关机重启了，session数据可能会丢失，但是cookie数据不会出现这种问题
• cookie数据存储在本地，数据容易被伪造，安全性不高

（2）修改login.html.erb页面，添加「记住账号」勾选框，粘贴下面四行代码到文件中

<dl class="form remember-me">
  <%= check_box_tag :remember_me, 1, params[:remember_me] %>
  <%= label_tag "记住账号" %>
</dl>
<!--参考代码，无需粘贴-->
<!--<p><%= submit_tag "登录", :class => "login-button btn btn-primary" %></p>-->

（3）因为cookie数据存储在本地，如果直接存储account_id数据很容易被伪造，所以我们给用户生成属于这个用户唯一的16位随机数，来替代account_id代表这个用户。

A、需要再account表中添加一个新的字段来保存这个16位随机数，我们给这个字段取名为auth_token,在项目命令行下执行下面代码：

/vagrant/data_system$ rails g migration AddAuthTokenToAccounts auth_token:string
#系统返回信息，产生了一个映射文件
create    db/migrate/20180928104207_add_auth_token_to_accounts.rb

#将新创建的映射文件映射到数据库中
/vagrant/data_system$ rake db:migrate
#系统返回信息
== 20180928104207 AddAuthTokenToAccounts: migrating ===========================
-- add_column(:accounts, :auth_token, :string)
   -> 0.0259s
== 20180928104207 AddAuthTokenToAccounts: migrated (0.0272s) ==================

B、在app/models/account.rb文件中添加以下代码
添加的generate_token方法中，代码的意思为，先将auth_token字符置为nil，再运行auth_token = SecureRandom.urlsafe_base64方法生成16位随机数，再通过while Account.exists?(auth_token:"#{auth_token}")条件来判断目前已保存的Account数据中是否存在刚刚生成的16位随机数据，如果存在则重新生成，直到不存在为止，虽然概率非常小，但我们需要保证auth_token的唯一性。最后将唯一的auth_token值保存到数据库中。

#参考代码，无需粘贴
#class Account < ApplicationRecord
before_create :generate_token
ROLE = {0 => "普通用户",1 => "管理员",2 => "超级管理员"}
def generate_token
  auth_token = nil
  begin
    auth_token = SecureRandom.urlsafe_base64
    Rails.logger.info "===auth_token==========#{auth_token}"
  end while Account.exists?(auth_token:"#{auth_token}")
  self.auth_token = auth_token
end
#参考代码，无需粘贴
#end

代码解析：

• begin
  代码..
  end while 条件
  是一种while循环格式，先执行代码，再看条件是否为true，为true就继续循环执行代码，为false就停止循环。至少会执行一次代码

• before_create :generate_token
  代码意思是，在account创建之前，先执行generate_token方法(刚刚在account.rb文件中创建的方法)，也就是在account.save操作之前，会先调用generate_token方法，然后再进行保存操作

• Rails.logger.info "===auth_token==========#{auth_token}"
  一般在测试里面使用，将你想要展示的内容打印到日志里面，我们这行打印生成的auth_token，来确认auth_token成功生成了。

• auth_token = SecureRandom.urlsafe_base64
  Rails中生成16位随机数的一个方法，可以直接调用来生成16位随机数

C、处理老数据

我们之前创建的用户，auth_token字段都是空的，我们需要处理一下

#进入控制台
/vagrant/data_system$ rails c

#粘贴下列代码
Account.where(auth_token:nil).each do |a|
  auth_token = nil
  begin
    auth_token = SecureRandom.urlsafe_base64
  end while Account.exists?(auth_token:"#{auth_token}")
  a.auth_token = auth_token
  a.save
end

这样老数据也有auth_token字段啦

（4）将session有关的代码调整为cookies相关的代码

A、accounts_controller.rb中调整create_login方法，注意需要修改两处

#原代码
session[:account_id] = account.id
#改为
if params[:remember_me]
  cookies.permanent[:auth_token] = account.auth_token
else 
  cookies[:auth_token] = account.auth_token
end

代码解析：

• cookies.permanent[:auth_token]
  勾选remember_me，permanent方法会使cookie的到期时间是20年

• cookies[:auth_token]
  不勾选remember_me，cookie的到期时间是1小时

B、accounts_controller.rb文件中调整logout方法

#原代码：
session[:account_id] = nil
#改为
cookies.delete(:auth_token)

C、application_controller.rb文件中调整check_login方法

#原代码
@current_user ||= session[:account_id] && Account.find(session[:account_id])
#改为
@current_user ||= cookies[:auth_token] && Account.find_by(auth_token:cookies[:auth_token])

D、测试
勾选remember_me登录，右键检查—Application下面有一个auth_token的cookie，到期时间是2038年，说明成功了

image.png