yashke.com

1. Zaczynamy
Na początek wygenerujemy sobie wszystkie potrzebne elementy, czyli:

• model:
  script/generate model User
• kontroler oraz potrzebne akcje
  script/generate controller User singup login logout change_passwd forgot_passwd
• mailer (przez niego będziemy wysyłać użytkownikowi nowe hasło)
  script/generate mailer Notifications forgot_password
• I na koniec tabela w bazie:
  CREATE TABLE 'users'(
'id' INT UNSIGNED NOT NULL,
'login' VARCHAR (255) NOT NULL,
'password_sha' VARCHAR (255) NOT NULL,
'salt' VARCHAR (255) NOT NULL,
'created_at' DATETIME NOT NULL,
'email' VARCHAR (255) NOT NULL,
PRIMARY KEY('id')
)
  Tutaj można wykazać się inwencją i dodać więcej pół przechowujących np. imię, nazwisko, i inne dane o użytkowniku.

2. Model
Przejdźmy do pliku models/user.rb

Najpierw przed deklaracją klasy user dodamy linijkę załączającą funkcję hashującą sha1.
require 'digest/sha1'

Następne linijki będą odpowiadać za walidację pól w bazie (dodajemy to po deklaracji klasy):
validates_length_of :login, :within => 5..40
validates_length_of :password, :within => 10..40
validates_presence_of :login, :email, :password, :password_confirmation, :salt
validates_uniqueness_of :login, :email
validates_confirmation_of :password
validates_format_of :email, :with => /^([^@\s]+)@((?:[-a-z0-9]+\.)+[a-z]{2,})$/i, :message => “Błędny email”

Wartości te można zmieniać w zależności od potrzeb. W tym przypadku funkcje te sprawdzają czy pole login zawiera łańcuch o odpowiedniej długości (5-40 znaków), analogicznie jest sprawdzane pole password, czy pola login, email, password, password_confirmation i salt są wypełnione także, czy login i email nie istnieją już w innym rekordzie bazy oraz, czy password i password_confirmation mają tą samą wartość. Wyrażenie regularne w ostatniej linijce służy do potwierdzenia poprawnej składni wpisanego adresu email.
Jeśli dodałeś do bazy swoje pola, możesz zgodnie z podanymi regułami dodać ich sprawdzanie.

Teraz zabezpieczymy niektóre parametry. attr_protected nie pozwala na modyfikowanie wartości pola z parametrów przekazanych konstruktorowi, a attr_accessor zabrania dostępu od oznaczonych pól z poza klasy.
attr_protected :id, :salt
attr_accessor :password, :password_confirmation

Dodamy funkcje generującą losowe hasło (do mechanizmu salt i generowania nowego hasła) i pomocniczą funkcję hashującą
def self.random_string(len)
#tworzy losowe hasło z liter i cyfr
chars = ("a".."z").to_a + ("A".."Z").to_a + ("0".."9").to_a
newpass = ""
1.upto(len) { |i| newpass

Funkcja przeładowująca przypisanie wartości do pola password (od razu będziemy tworzyć hash hasła):
def password=(pass)
@password=pass
self.salt = User.random_string(10) if !self.salt?
self.password_sha = User.encrypt(@password, self.salt)
end

I na koniec dwie funkcje, już typowo do obsługi użytkowników:
def self.authenticate(login, pass)
u=find(:first, :conditions=>["login = ?", login])
return nil if u.nil?
return u if User.encrypt(pass, u.salt)==u.hashed_password
nil
end

def send_new_password
new_pass = User.random_string(10)
self.password = self.password_confirmation = new_pass
self.save
Notifications.deliver_forgot_password(
self.email, self.login, new_pass)
end

Pierwsza funkcja sprawdza, czy podany login i hasło pasują do tych z bazy, a druga na żądanie generuje, zapisuje w bazie i wysyła mailem nowe hasło.

To wszystko co trzeba było zrobić w modelu, zajmijmy się teraz kontrolerem.

3. Kontroler
Mamy już wygenerowany schemat klasy UserController, więc zabierzemy się za jego wypełnianie.
Zaczniemy od akcji signup:
def signup
@user = User.new(@params[:user])
if request.post?
if @user.save
session[:user] = User.authenticate(@user.login, @user.password)
flash[:notice] = “Rejestracja przebiegła pomyślnie”
redirect_to :controller=> “news”
else
flash[:warning] = “Błąd podczas rejestracji”
end
end
end

Można zauważyć przypisanie komunikatu do tablicy flash[]. W następnej części napisze jak można wyświetlić te komunikaty na stronie.

Funkcja ta tworzy nowy obiekt User, wypełnia go danymi z formularza i zapisuje w bazie, przy okazji logując użytkownika.

Kod akcji login wygląda bardzo podobnie, tylko tutaj nie tworzymy nowego obiektu User:
def login
if request.post?
if session[:user] = User.authenticate(params[:user][:login], params[:user][:password])
flash[:notice] = “Zostałeś zalogowany”
redirect_to_stored
else
flash[:error] = “Błędny login/hasło”
end
end
end

Musimy także zadbać o wylogowanie użytkownika:
def logout
session[:user] = nil
flash[:notice] = ‘Zostałeś wylogowany’
redirect_to :action => ‘login’
end

I ostatnie 2 funkcje służące do wysłania nowego oraz zmienienia hasła:
def forgot_passwd
if request.post?
u= User.find_by_email(params[:user][:email])
if u and u.send_new_password
flash[:notice] = “Nowe hasło zostało wysłane emailem”
redirect_to :action=>’login’
else
flash[:error] = “Nie udało się wysłać hasła”
end
end
end

def change_passwd
@user=session[:user]
if request.post?
@user.update_attributes(:password=>params[:user][:password], :password_confirmation => params[:user][:password_confirmation])
if @user.save
flash[:notice]=”Hasło zmienione”
end
end
end

Chyba nic nie wymaga tu komentarza ;).

Teraz trzeba dodać jeszcze kilka funkcji pomocniczych do pliku application.rb.
def login_required
if session[:user]
return true
end
flash[:warning]=’Zaloguj się, aby kontynuować’
session[:return_to]=request.request_uri
redirect_to :controller => “user”, :action => “login”
return false
end

def redirect_to_stored
if return_to = session[:return_to]
session[:return_to]=nil
redirect_to_url(return_to)
else
redirect_to :controller=>’twój_kontroller’, :action=>’jakaś_akcja’
end
end

Druga funkcja pozwala na odesłanie do strony, która była wyświetlana przed wyświetleniem formularza logowania, może być przydatna także w innych zastosowaniach. Ważne! Pamiętaj aby podać domyślny kontroler i akcję.

4. Widoki
Na początek zajmiemy się ‘widokiem’ mailera, który ukrył się w views/notifications/forgot_password.rhtml – jest to treść maila jaki zostanie wysłany do użytkownika.
Dodamy tu prosty tekst, ty możesz wpisać coś ciekawszego:
Witaj <%= @login %>!
System wygenerował dla Ciebie nowe hasło: <%= @pass %>.
Można pokusić się o wysłanie w mailu tylko linka do strony na której będzie podane hasło, ale to już zostawiam wam.

Teraz zamieszczą przykładowy kod reszty widoków:
signup.rhtml
<%= start_form_tag :action=> "signup" %>
<%= error_messages_for 'user' %><br/>
<label for="user_login">Username</label><br/>
<%= text_field "user", "login", :size => 20 %><br/>
<label for="user_password">Password</label><br/>
<%= password_field "user", "password", :size => 20 %><br/>
<label for="user_password_confirmation">Password Confirmation</label><br/>
<%= password_field "user", "password_confirmation", :size => 20 %><br/>
<label for="user_email">Email</label><br/>
<%= text_field "user", "email", :size => 20 %><br/>
<%= submit_tag "Zarejestruj się" %>
<%= end_form_tag %>

login.rhtml
<%= start_form_tag :action=> "login" %>
<label for="user_login">Nazwa użytkownika:</label><br/>
<%= text_field "user", "login", :size => 20 %><br/>
<label for="user_password">Hasło:</label><br/>
<%= password_field "user", "password", :size => 20 %><br/>
<%= submit_tag "Zaloguj się" %>
<p>
<%= link_to 'Zarejestruj się', {:action => 'signup'}%> |
<%= link_to 'Zapomniałeś hasła?', {:action => 'forgot_password'}%>
</p>
<%= end_form_tag %>

forgot_passwd.rhtml
<%= start_form_tag :action=>'forgot_password'%>
<h3>Forgotten password</h3>
Email: <%= text_field "user","email" %><br/>
<%= submit_tag 'Prześlij hasło' %>
<%= end_form_tag %>

change_passwd.rhtml
<%= error_messages_for 'user' %>
<h3>Change password</h3>
<%= start_form_tag :action => 'change_password' %>
<label for="user_password">Choose password:</label><br/>
<%= password_field "user", "password", :size => 20, :value=>"" %><br/>
<label for="user_password_confirmation">Confirm password:</label><br/>
<%= password_field "user", "password_confirmation", :size => 20, :value=>"" %><br/>
<%= submit_tag "Zmień" %>
<%= end_form_tag %>

Jeśli chcesz użyć widoku logout.rhtml, możesz w kontrolerze User, przy akcji logout usunąć przekierowanie na akcję login.

Oczywiście, to są tylko przykładowe formularze, możesz je w pełni dostosować do wymogów aplikacji, ważne tylko, żeby wszystkie parametry były przekazywane do funkcji.

5. Użycie
Użycie tego w praktyce jest bardzo proste. Aby się zarejestrować wystarczy wejść na http://twój-adres-serwera/user/singup . Analogicznie wygląda sprawa z logowaniem. Tak samo proste jest ograniczanie dostępu do niektórych akcji lub całego kontrolera – skorzystamy z funkcji login_required:

• Ograniczenie pojedynczych akcji:
  before_filter :login_required, :only=>['akcja1', 'akcja2', ...]
• Ograniczenie wszystkich akcji oprócz wybranych:
  before_filter :login_required, :except=>['akcja1', 'akcja2', ...]

Skoro wiemy już jak pozwolić tylko niektórym użytkownikom na dostęp do akcji, to zabezpieczmy nasz kontroler UserController dodając od razu po deklaracji klasy ten kod:

before_filter :login_required, :only=>['change_password']

Możesz chcieć wyświetlać niektóre cześci strony tylko wtedy gdy użytkownik jest zalogowany- można to zrobić takim kodem:
<% if @session[:user]%>
twój kod
<% end %>

6. Co dalej?
W następnej części najprawdopodobniej napiszę o obsłudze ról użytkowników, dodawaniu captchy do rejestracji i może dodam jeszcze coś o potwierdzaniu rejestracji.

Bibliografia: Basic User Authentication in Rails

Tagi: webdev

Ten wpis powstał 2006-10-13 o godzinie 7:13 i należy do kategorii . Możesz śledzic komentarze do tego wpisu przez RSS 2.0 . Jeśli chcesz skomentuj ten wpis , lub zostaw trackback.