ruby-on-rails – 如何在Rails / w Devise中注销时使特定会话无效?

我想在用户使用Devise注销时使会话无效,我有一个回调来捕获用户注销,以获得更多的防止会话劫持的保护.
class ApplicationController < ActionController::Base
  def sign_out(*args)
    super(*args)
    reset_session
  end
end

我的理解是,这将删除存储在服务器端的会话信息,从而使其无效.

但是我仍然可以使用我在退出之前获得的会话ID登录.
我误解了它是如何工作的吗?我只想让这个会话无效,而不是全部.

我正在使用session_store的默认值.

解决方法

经过一些谷歌搜索和冥想,我来了这个 question,可以修改,以满足我的需要,

我所做的就是

application_controller.rb

def sign_out(*args)
    current_user.update_attribute(:current_sign_in_token,"")
    super
  end

这将使sign_in_token无效,从而使会话无效,因此劫持会话ID仍然会让你被踢出局.

相关文章

以下代码导致我的问题: class Foo def initialize(n=0) @n = n end attr_accessor :n d...
这是我的spec文件,当为上下文添加测试“而不是可单独更新用户余额”时,我得到以下错误. require 's...
我有一个拦截器:DevelopmentMailInterceptor和一个启动拦截器的inititializer setup_mail.rb. 但我想将...
例如,如果我有YAML文件 en: questions: new: 'New Question' other: recent: ...
我听说在RSpec中避免它,let,let !,指定,之前和主题是最佳做法. 关于让,让!之前,如果不使用这些,我该如...
我在Rails中使用MongoDB和mongo_mapper gem,项目足够大.有什么办法可以将数据从Mongoid迁移到 Postgres...