我正在使用devise gem,点击确认链接后,我想直接登录.目前它正在要求再次登录.
最近,我在designe初始化文件中添加了以下内容:
config.allow_insecure_token_lookup = true
config.secret_key = 'a8d814803c0bcc735ce657adc77793459d00154cdd7532c13d3489600dc4e963f86e14beb593a32cbe9dbbe9197c9ce50a30102f363d90350052dc8d69930033'
有什么建议吗?
在以前的Desive版本中,用户在确认后会自动登录.这意味着任何可以访问确认邮箱的人都可以通过单击链接登录到某人的帐户.
在邮箱重新确认工作流中,自动登录用户也可能有害.想象一下,一个用户决定更改他的邮箱地址,并且在这样做时,他在新的邮箱地址上输入了一个拼写错误.一封邮箱将被发送到另一个地址,在手里拿着令牌的情况下,该地址将能够登录到该帐户.
如果用户立即更正邮箱,则不会造成任何伤害.但如果没有,其他人可以登录到该帐户,用户就不会知道它发生了.
因此,Devise 3.1在确认后不再自动登录用户.升级后,通过在config/initializers/designe中设置以下内容,可以暂时恢复旧行为.rb:
config.allow_insecure_sign_in_after_confirmation = true
该选项将仅暂时用于帮助移民.