devise是一個很好的用戶登錄gem。但還是想自己寫個“輪子”，一則本來就是在學習rails，二則是了解了用戶登錄這一套機制后，對理解devise也有好處。加上rails tutorial中有很大的篇幅介紹用戶登錄，所以周末跟著練習，記錄一下，加深印象。
本文只針對登錄，并沒有涉及到用戶的注冊，所以password_digest和password以用戶password_confirmaion不會提及

1. 首先需要創建user的model，包括name、email、password_digest、remeber_digest。還需要創建一個sessioncontroller來控制登錄和退出
   

       rails g model User name:string email:string password_digest:string remeber_digest:string
       rake db:migrate
       rails g controller users new
   

2. 要在user.rb中調用has_secure_password的方法，同時在增加"bcrypt"的gem。另外還需要增加一個remeber_token的屬性，該屬性是一個隨機的值，然后對該值進行加密存入到remeber_digest，從而理論上保證了唯一性
   user.rb
   attr_accessor :remeber_token has_secure_password
   Gemfile
   ```
   gem 'bcrypt'

3. routes.rb中增加登錄用的路由

        get 'login' => 'sessions#new'
        post 'login' => 'sessions#create'
        delete 'logout' => 'sessions#destroy'
   

4. 相應的views/sessions/new.html.erb文件中編寫登錄頁面

   <div class="row">
     <div class="col-md-6 col-md-offset-3">
       <%= form_for :session, url: login_url, method: :post do |f| %>
   
         <%= f.label :login %>
         <%= f.text_field :login, class: "form-control", placeholder: "input your name or email" %>
   
         <%= f.label :password %>
         <%= f.password_field :password, class: "form-control" %>
   
         <%= f.label :remeber_me, class: "checkbox inline" do %>
           <%= f.check_box :remeber_me %>
           <span>Remeber me on this computer</span>
         <% end -%>
   
         <%= f.submit "Log in", class: "btn-primary" %>
       <% end -%>
       <p>New user?<%= link_to "Sign up now!", signup_path %></p>
     </div>
   </div>
   

至此，準備工作基本完成，其中user.remeber_digest這個屬性是用來驗證用戶持久性會話狀態的。而bcrypt這個gem主要用來進行加密。
開始實現用戶登錄.

1. 首先編寫controller中的內容。

   
       class SessionsController < ApplicationController
         #引入SessionsHelper moudle，這樣就可以調用該moudle中的方法了
         include SessionsHelper
         def new
         end
   
         def create
           login = params[:session][:login]
           password = params[:session][:password]
           #User.find_by_login(login)是新增加的一個類方法，用來實現name或者email的登錄
           user = User.find_by_login(login)
           #authenticate是has_secure_password引入的一個方法，用來判斷user的密碼與頁面中傳過來的密碼是否一致
           if user && user.authenticate(password)
             log_in(user) #SessionsHelper中的方法
             #判斷是否要持續性的記住用戶的登錄狀態
             params[:session][:remeber_me] == "1" ? remeber(user) : forget(user)
             redirect_to user_path(user)
           else
             flash.now[:danger] = "Invalid login or password."
             render 'new'
           end
         end
   
         def destroy
           log_out if logged_in? #SessionsHelper中的方法
           redirect_to root_path
         end
   end
   

2. 登錄的核心方法都寫在SessionsHelper中。
   思路是：用session[:user_id]來記住臨時的登錄狀態，一旦瀏覽器關閉或者退出，session中的內容就被清空。而用cookies[:user_id]來持久性的記住用戶的登錄狀態，因為cookies是存在本地瀏覽器中的，所以這樣會有安全問題，因此在存cookies[:user_id]的同時，還存放了cookies[:remeber_token]做為身份驗證，一旦這個值成數據庫中記錄的remeber_digest不一致。則不能登錄。

       module SessionsHelper
         #一旦賬號密碼正確，則成功登錄，同時在session中記錄session[:user_id]
         def log_in(user)
           session[:user_id] = user.id
         end
         #如果用戶允許在本地保存登錄信息，則保存cookies
         def remeber(user)
           #先把本次登錄的remeber_token保存至數據庫
           user.remeber
           #然后把remeber_token保存到cookies中，同時把user_id也保存在cookies中
           # cookies[:remeber_token] = { value: user.remeber_token, expires: 10.days.from_now.utc}
           # cookies.signed[:user_id] = { value: user.id, expires: 10.days.from_now.utc}
           cookies.permanent[:remeber_token] = user.remeber_token
           cookies.permanent.signed[:user_id] = user.id
         end
         #獲取當前登錄用戶，如未登錄，則為nil.@current_user這個實例變量是為了避免每次調用current_user方法都去查詢一遍數據庫的情況。
         def current_user
           #先判斷session中是否為nil
           if (user_id = session[:user_id])
             @current_user ||= User.find_by(id: user_id)
           #再判斷cookies中是否保存了登錄信息
           else (user_id = cookies.signed[:user_id])
             user = User.find_by(id: user_id)
             #如果cookies中保存了，再用authenticated?這個方法判斷cookies[:remeber_token]或者數據庫中的remeber_digest是否一致。
             if user && user.authenticated?(cookies[:remeber_token])
               log_in(user)
               @current_user = user
             end
           end
         end
         #用來判斷用戶是否登錄的方法
         def logged_in?
           !current_user.nil?
         end
         #用來清空持久性登錄信息
         def forget(user)
           user.forget #將user.remeber_digest重置為nil
           #刪除cookies中的登錄信息
           cookies.delete(:user_id)
           cookies.delete(:remeber_token)
         end
         #退出，同時刪除session中的信息
         def log_out
           forget(current_user)
           session.delete(:user_id)
           @current_user = nil
         end
       end
   
   

3. 在user.rb中編寫代碼，用來支持controller和Helper中的方法.

         #用來加密remeber_token，然后保存到數據庫中的remeber_digest中去
         def self.digest(string)
           cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
           BCrypt::Password.create(string, cost: cost)
         end
         #生成隨機的字符串
         def self.new_token
           SecureRandom.urlsafe_base64
         end
         #每次登錄成功或者注冊后，都會調用remeber的方法，將remeber_token這個隨機字符串加密后更新到數據庫中的remeber_digest的值
         def remeber
           self.remeber_token = User.new_token
           self.update_attribute(:remeber_digest, User.digest(remeber_token))
         end
         #用來判斷cookies[:remeber_token]中的值通過BCrypt加密后，是否與數據庫中的一致
         def authenticated?(remeber_token)
           return false if remeber_digest.nil?
           BCrypt::Password.new(remeber_digest).is_password?(remeber_token)
         end
         #退出登錄時調用，將數據庫是的rember_digest值置為nil
         def forget
           self.update_attribute(:remeber_digest, nil)
         end
   

用戶登錄的功能基本完成，利用rails中的方法，可以很方便的實現登錄功能###