Как сделать только одну активную сессию в devise?

Question

[Николай Марков]

Хочу сделать так чтобы пользователи могли иметь только одну активную сессию. Т.е. если они заходят с другого браузера, то предыдущая сессия закрывается и открывается новая.

Думал сделать это с помощью хранения сессии в БД (activerecord-session_store gem), но оказалось что обычное удаление записи из бд не убивает сессию и при обновлении страницы просто создается новая запись для сессии в БД.

UPD: забыл сервер перезапустить :-( все работает. удаление сессии из БД работает (т.е. пользователь разлогинивается)

Answer 1

[Павел Кононенко]

Если я правильно понял, то нужно сделать ограничение на одну сессию для одного юзера.
https://github.com/phatworx/devise_security_extension
В Gemfile пишем:
gem 'devise_security_extension'
Запускаем генератор миграции:
rails g devise_security_extension:install
Проверяем полученную миграцию. Должно быть вот так:

class AddSessionLimitableToUsers < ActiveRecord::Migration
  def change
    add_column :users, :unique_session_id, :string, limit: 20
  end
end

Применяем ее:
rake db:migrate
И в модели юзера добавляем к вызову метода devise :session_limitable

class User < ActiveRecord::Base
  devise ..., :session_limitable
  ...
end

Comments

[Николай Марков]

Спасибо за полезный гем!

[Николай Марков]

Такое решение (использование unique_session_id) оказалось более "правильным". Вот только поддержка гема оставляет желать лучшего. При таком-то пафосном названии. Например нет тестов на работоспособность unique_session_id :-(

Answer 2

[PolkovnikBrumel]

Может, просто запретить активному юзеру еще раз логиниться?

Comments

[PolkovnikBrumel]

или если он заходит с другого браузера, он остается залогиненным?

[Николай Марков]

PolkovnikBrumel: нужно давать возможность заходить из других мест. но при этом закрывать все предыдущие сессии