devise是一个很好的用户登录gem。但还是想自己写个“轮子”，一则本来就是在学习rails，二则是了解了用户登录这一套机制后，对理解devise也有好处。加上rails tutorial中有很大的篇幅介绍用户登录，所以周末跟着练习，记录一下，加深印象。
本文只针对登录，并没有涉及到用户的注册，所以password_digest和password以用户password_confirmaion不会提及

1. 首先需要创建user的model，包括name、email、password_digest、remeber_digest。还需要创建一个sessioncontroller来控制登录和退出
   

       rails g model User name:string email:string password_digest:string remeber_digest:string
       rake db:migrate
       rails g controller users new
   

2. 要在user.rb中调用has_secure_password的方法，同时在增加"bcrypt"的gem。另外还需要增加一个remeber_token的属性，该属性是一个随机的值，然后对该值进行加密存入到remeber_digest，从而理论上保证了唯一性
   user.rb
   attr_accessor :remeber_token has_secure_password
   Gemfile
   ```
   gem 'bcrypt'

3. routes.rb中增加登录用的路由

        get 'login' => 'sessions#new'
        post 'login' => 'sessions#create'
        delete 'logout' => 'sessions#destroy'
   

4. 相应的views/sessions/new.html.erb文件中编写登录页面

   <div class="row">
     <div class="col-md-6 col-md-offset-3">
       <%= form_for :session, url: login_url, method: :post do |f| %>
   
         <%= f.label :login %>
         <%= f.text_field :login, class: "form-control", placeholder: "input your name or email" %>
   
         <%= f.label :password %>
         <%= f.password_field :password, class: "form-control" %>
   
         <%= f.label :remeber_me, class: "checkbox inline" do %>
           <%= f.check_box :remeber_me %>
           <span>Remeber me on this computer</span>
         <% end -%>
   
         <%= f.submit "Log in", class: "btn-primary" %>
       <% end -%>
       <p>New user?<%= link_to "Sign up now!", signup_path %></p>
     </div>
   </div>
   

至此，准备工作基本完成，其中user.remeber_digest这个属性是用来验证用户持久性会话状态的。而bcrypt这个gem主要用来进行加密。
开始实现用户登录.

1. 首先编写controller中的内容。

   
       class SessionsController < ApplicationController
         #引入SessionsHelper moudle，这样就可以调用该moudle中的方法了
         include SessionsHelper
         def new
         end
   
         def create
           login = params[:session][:login]
           password = params[:session][:password]
           #User.find_by_login(login)是新增加的一个类方法，用来实现name或者email的登录
           user = User.find_by_login(login)
           #authenticate是has_secure_password引入的一个方法，用来判断user的密码与页面中传过来的密码是否一致
           if user && user.authenticate(password)
             log_in(user) #SessionsHelper中的方法
             #判断是否要持续性的记住用户的登录状态
             params[:session][:remeber_me] == "1" ? remeber(user) : forget(user)
             redirect_to user_path(user)
           else
             flash.now[:danger] = "Invalid login or password."
             render 'new'
           end
         end
   
         def destroy
           log_out if logged_in? #SessionsHelper中的方法
           redirect_to root_path
         end
   end
   

2. 登录的核心方法都写在SessionsHelper中。
   思路是：用session[:user_id]来记住临时的登录状态，一旦浏览器关闭或者退出，session中的内容就被清空。而用cookies[:user_id]来持久性的记住用户的登录状态，因为cookies是存在本地浏览器中的，所以这样会有安全问题，因此在存cookies[:user_id]的同时，还存放了cookies[:remeber_token]做为身份验证，一旦这个值成数据库中记录的remeber_digest不一致。则不能登录。

       module SessionsHelper
         #一旦账号密码正确，则成功登录，同时在session中记录session[:user_id]
         def log_in(user)
           session[:user_id] = user.id
         end
         #如果用户允许在本地保存登录信息，则保存cookies
         def remeber(user)
           #先把本次登录的remeber_token保存至数据库
           user.remeber
           #然后把remeber_token保存到cookies中，同时把user_id也保存在cookies中
           # cookies[:remeber_token] = { value: user.remeber_token, expires: 10.days.from_now.utc}
           # cookies.signed[:user_id] = { value: user.id, expires: 10.days.from_now.utc}
           cookies.permanent[:remeber_token] = user.remeber_token
           cookies.permanent.signed[:user_id] = user.id
         end
         #获取当前登录用户，如未登录，则为nil.@current_user这个实例变量是为了避免每次调用current_user方法都去查询一遍数据库的情况。
         def current_user
           #先判断session中是否为nil
           if (user_id = session[:user_id])
             @current_user ||= User.find_by(id: user_id)
           #再判断cookies中是否保存了登录信息
           else (user_id = cookies.signed[:user_id])
             user = User.find_by(id: user_id)
             #如果cookies中保存了，再用authenticated?这个方法判断cookies[:remeber_token]或者数据库中的remeber_digest是否一致。
             if user && user.authenticated?(cookies[:remeber_token])
               log_in(user)
               @current_user = user
             end
           end
         end
         #用来判断用户是否登录的方法
         def logged_in?
           !current_user.nil?
         end
         #用来清空持久性登录信息
         def forget(user)
           user.forget #将user.remeber_digest重置为nil
           #删除cookies中的登录信息
           cookies.delete(:user_id)
           cookies.delete(:remeber_token)
         end
         #退出，同时删除session中的信息
         def log_out
           forget(current_user)
           session.delete(:user_id)
           @current_user = nil
         end
       end
   
   

3. 在user.rb中编写代码，用来支持controller和Helper中的方法.

         #用来加密remeber_token，然后保存到数据库中的remeber_digest中去
         def self.digest(string)
           cost = ActiveModel::SecurePassword.min_cost ? BCrypt::Engine::MIN_COST : BCrypt::Engine.cost
           BCrypt::Password.create(string, cost: cost)
         end
         #生成随机的字符串
         def self.new_token
           SecureRandom.urlsafe_base64
         end
         #每次登录成功或者注册后，都会调用remeber的方法，将remeber_token这个随机字符串加密后更新到数据库中的remeber_digest的值
         def remeber
           self.remeber_token = User.new_token
           self.update_attribute(:remeber_digest, User.digest(remeber_token))
         end
         #用来判断cookies[:remeber_token]中的值通过BCrypt加密后，是否与数据库中的一致
         def authenticated?(remeber_token)
           return false if remeber_digest.nil?
           BCrypt::Password.new(remeber_digest).is_password?(remeber_token)
         end
         #退出登录时调用，将数据库是的rember_digest值置为nil
         def forget
           self.update_attribute(:remeber_digest, nil)
         end
   

用户登录的功能基本完成，利用rails中的方法，可以很方便的实现登录功能###