我想在
用户使用Devise注销时使会话无效,我有一个回调来捕获
用户注销,以获得更多的防止会话劫持的保护.
class ApplicationController < ActionController::Base
def sign_out(*args)
super(*args)
reset_session
end
end
我的理解是,这将删除存储在服务器端的会话信息,从而使其无效.
但是我仍然可以使用我在退出之前获得的会话ID登录.
我误解了它是如何工作的吗?我只想让这个会话无效,而不是全部.
我正在使用session_store的默认值.
经过一些谷歌
搜索和冥想,我来了这个
question,可以
修改,以满足我的需要,
我所做的就是
application_controller.rb
def sign_out(*args)
current_user.update_attribute(:current_sign_in_token,"")
super
end
这将使sign_in_token无效,从而使会话无效,因此劫持会话ID仍然会让你被踢出局.
