当用户使用Devise注销时,我希望使会话无效,我有一个回调用于在用户注销时捕获,以获得更多防止会话劫持的保护。
class ApplicationController < ActionController::Base
def sign_out(*args)
super(*args)
reset_session
end
end
我的理解是,这将删除存储在服务器端的会话信息,从而使其无效。
但是我仍然可以使用我在退出之前获得的会话ID登录。 我误解了它是如何工作的吗?我只想让这个会议无效,而不是全部。
我正在使用session_store的默认值。
答案 0 :(得分:6)
经过一些谷歌搜索和冥想后,我来了question,可以根据我的需要进行修改,
我所做的只是
application_controller.rb
def sign_out(*args)
current_user.update_attribute(:current_sign_in_token, "")
super
end
会使sign_in_token无效,从而使会话无效,因此劫持会话ID仍然会让你被踢出去。