Discussion :

[MoxFulder]

Hello,

Je suis en train de lire la documentation sur rails 2.1 et j'ai vu que la gestion des sessions était différente entre rails 1.2.* et 2.*

1.2.*

Session en base ou dans un fichier sur le serveur, le cookie client contient une clé pour ré-obtenir les valeures

2.*

Session cookie, rien stocké côté serveur.

Ma grande question : Pourquoi je stockerai pas tout dans la base comme avant ? Pourquoi préférer les cookies ? Dans presque tous les cas, j'aurai besoin de récupérer des données en base (nom de l'utilisateur, panier (si c'est un shop)), etc.

[Taum]

Salut,

Rails 2.0 rajoute effectivement cette fonctionnalité, mais tu peux aussi utiliser une base de données ou des fichiers. Il suffit de changer le session store (quelque part dans environment.rb).

Ma grande question : Pourquoi je stockerai pas tout dans la base comme avant ? Pourquoi préférer les cookies ?

Voici ce qu'a dit DHH lors du lancement de Rails 2.0 :

The default session store in Rails 2.0 is now a cookie-based one. That means sessions are no longer stored on the file system or in the database, but kept by the client in a hashed form that can’t be forged. This makes it not only a lot faster than traditional session stores, but also makes it zero maintenance. There’s no cron job needed to clear out the sessions and your server won’t crash because you forgot and suddenly had 500K files in tmp/session.

This setup works great if you follow best practices and keep session usage to a minimum, such as the common case of just storing a user_id and a the flash. If, however, you are planning on storing the nuclear launch codes in the session, the default cookie store is a bad deal. While they can’t be forged (so is_admin = true is fine), their content can be seen. If that’s a problem for your application, you can always just switch back to one of the traditional session stores (but first investigate that requirement as a code smell).

Dans presque tous les cas, j'aurai besoin de récupérer des données en base (nom de l'utilisateur, panier (si c'est un shop))

Donc dans le meilleur des cas, tu n'as même pas besoin de taper dans la base de données et dans le pire des cas, tu économises une requête (pour récuperer les données de session). Ça me semble toujours bon à prendre.

[Mookie]

Il faut faire attention à ce que tu mets en session car la taille maximum d'un cookie = 4 ko.
Cela force un peu à mettre les ids en session plutôt que les objets.

[MoxFulder]

Il faut faire attention à ce que tu mets en session car la taille maximum d'un cookie = 4 ko.
Cela force un peu à mettre les ids en session plutôt que les objets.

oui justement, donc tu dois refaire la requête en base pour obtenir l'objet. C'est pour ça que j'ai un peu de la peine à comprendre le réél but

De plus, garder des objets en sessions oblige à chaque fois de unmarshaller l'info même quand tu n'as pas besoin de l'objet.

[MoxFulder]

Et pourquoi garder le message flash dans la session ?

[kedare]

Il y a donc moyen d'utiliser des sessions ou les données sont stocké dans la base de donnée ou le systeme de fichier du serveur plutot que dans un cookie si il y a des données sensibles ?

[MoxFulder]

Il y a donc moyen d'utiliser des sessions ou les données sont stocké dans la base de donnée ou le systeme de fichier du serveur plutot que dans un cookie si il y a des données sensibles ?

bien entendu, en général, les sessions c'est côté serveur.

[kedare]

Vous savez comment on peut faire pour que la session expire aprés un certain temps ?
j'ai cru lire qu'il fallais mettre :session_expires dans la session avec la date de l'expiration, mais ca date de 2006 donc je suis pas sure que ca soit toujours comme ca...

[Taum]

Il semble que ça soit toujours d'actualité, cf la doc en ligne :

http://api.rubyonrails.org/classes/A...s.html#M000649
http://api.rubyonrails.org/classes/A...e.html#M000856

[kedare]

j'ai rien trouvé sur l'expiration dans le premier, et dans le deuxieme il est utilisé differement, je parlais de l'utiliser comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session[:session_expires] = Time...

[Taum]

il est utilisé differement, je parlais de l'utiliser comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session[:session_expires] = Time...

Ce qui serait censé faire quoi ?

Dans mon idée une session expire après une certaine période d'inactivité. Tu veux simplement dire "cette session n'est plus valide dans 10 minutes" quelque soit ce que l'utilisateur fait entre temps ?

[kedare]

Ce qui serait censé faire quoi ?

Dans mon idée une session expire après une certaine période d'inactivité. Tu veux simplement dire "cette session n'est plus valide dans 10 minutes" quelque soit ce que l'utilisateur fait entre temps ?

non, que la session soit detruite 10min aprés la derniere action de l'utilisateur

[Taum]

Dans ce cas ça parait cohérent d'avoir une méthode de classe sur ActionController::Base comme indique la documentation que je t'ai mis en lien.

Je pense qu'il faut définir une durée de session dans le ApplicationController :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
class ApplicationController
  session :session_expires => ...
end

En revanche d'après la doc je n'arrives pas à savoir exactement ce qu'on doit mettre en paramètre. Je pense que quelque chose comme Proc.new { Time.now + 10.minutes } pourrait marcher mais je n'ai rien sous la main pour tester