使用Cucumber+Rspec玩转BDD(5)——安全退出

使用Cucumber+Rspec玩转BDD(5)——安全退出

2009年3月20日 星期五

### 温故知新 ###

为了保护用户的隐私，限制特定资料的访问，前面我们给系统增加了登录功能；紧接着，又为了方便用户在一段时间之内不必重复登录操作，我们实现了用户的持久登录状态，即“记住我”功能。如果浏览器未关闭，或者用户一直处于在线状态，而用户自己并没有使用这台设备，很显然，这对用户的帐号是非常危险的；基于此，系统应该提供一个给用户手工注销在线状态退出站点的功能。

为了获得更好的阅读体验，读者朋友们可以在这里下载源码：http://github.com/404/bdd_user_demo/tree/master


### 新建工作分支 ###

$ git checkout -b user_logout


### 用户注销退出功能 ###

  1.提供一个“退出”链接，用户登录后点击该链接可以注销在线状态；
  2.用户登录并勾选记住我后，点击“退出”链接可以注销在线状态，下次访问的时候将不再自动登录。

下面来编写对应于以上功能的故事场景。


### 故事用例之用户注销退出 ###

$ gedit features/user_logout.feature

功能: 用户安全退出
  为了保护我的帐号不被他人非法使用
  作为一名已经登录的在线用户
  我希望能够安全退出
  
  场景: 用户注销在线状态
    假如 我已经使用<404/xuliicom@gmail.com/password>注册过且已经激活了帐号
    当 我以<xuliicom@gmail.com/password>这个身份登录
    那么 我应该成功登录网站
    当 我退出网站
    那么 我应该看到<您已经安全退出>的提示信息
    而且 我应该尚未登录

  场景: 用户在持久在线状态下退出
    假如 我已经使用<404/xuliicom@gmail.com/password>注册过且已经激活了帐号
    当 我以<xuliicom@gmail.com/password>这个身份登录并勾选<记住我>
    那么 我应该成功登录网站
    当 我退出网站
    那么 我应该看到<您已经安全退出>的提示信息
    而且 我应该尚未登录
    当 我关闭网页下次再来访问的时候
    那么 我应该尚未登录

可以把一个feature文件当作一份书面需求的电子版，如果你觉得文件开头几句没什么用（为了...作为...我希望...），那直接在那里罗列出功能简要咯，故事场景就当作详尽的需求来写。例如：

功能: 用户安全退出
  1.提供一个“退出”链接，用户登录后点击该链接可以注销在线状态；
  2.用户登录并勾选记住我后，点击“退出”链接可以注销在线状态，下次访问的时候将不再自动登录。
  
  场景1
    ...

  场景2
    ...

若真那样，说不定可以节约不少会议时间，因为用于测试的故事文本（feature文件）完全可以替代现实中的功能需求书，而且更加灵活。再向前一步，就可以直接把客户说的需求整理到测试中去，完了发动测试引擎一直在那转动着，开发人员和测试引擎凑到一块儿玩结对编程……敏捷开发，我们还需要文档么？

回头干正事儿，保存 user_logout.feature。运行测试看看它能告诉我们应该做些什么，

$ ruby script/cucumber -l zh-CN features/user_logout.feature




### 编写测试脚本 ###

如上图所示，我们需要为“当 我退出网站”定义所需的运行脚本。

$ gedit features/step_definitions/user_steps.rb

# user logout

When /^我退出网站$/ do
  visit '/logout', :delete
end

保存user_steps.rb。运行测试，

$ ruby script/cucumber -l zh-CN features/user_logout.feature




### 配置登出路由（logout_path） ###

没有找到"/logout"这一访问路径，因为我们还没有在 routes.rb 配置文件中定义"/logout"。修改 routes.rb 文件，添加这条路由信息，

$ gedit config/routes.rb

为了sessions资源看起来有紧凑的结构，我们稍微变换了login_path的定义，与logout_path整合到了一起。

  map.with_options :controller => 'sessions' do |page|
    page.login '/login', :action => 'new'
    page.logout '/logout', :action => 'destroy'
  end


### 实现用户注销退出 ###

既然 "/logout" 路由指向了 SessionsController 类的 destroy 方法，那么我们还需要编写 destroy 方法的具体实现。

$ gedit app/controllers/sessions_controller.rb

添加 destroy 方法，

  def destroy
    forget(current_user)
    reset_session
    flash[:notice] = "您已经安全退出！"
    redirect_to login_path
  end

在 private 之后添加 forget 方法，

  def forget(user)
    user.forget_me! if user
    cookies.delete :remember_token
  end


### 删除服务端的remember_token ###

在forget方法中，程序调用了User实例对象的forget_me!方法；然后清除了当前客户端与服务端会话的cookies；仅仅清除客户端的cookies还不够，服务器上的也应该一并删除。

$ gedit app/models/user.rb

添加forget_me!方法，

  # 删除数据库里边的remember_token
  def forget_me!
    self.remember_token_expires_at = nil
    self.remember_token            = nil
    save(false)
  end

保存 user.rb。运行测试，

$ ruby script/cucumber -l zh-CN features/user_logout.feature



测试通过！


### 亲临现场 ###

为了方便登录用户能够以鼠标点击的方式退出站点，也为了方便开发人员自己手工测试，此时还需要给登录用户提供一个用于注销退出的链接。在之前设置的访问控制中，用户资料显示页面只能在用户登录以后才可见，我们可以将此退出链接加到这个页面中。

$ gedit app/views/users/show.html.erb

在该模板文件末尾加上如下一段代码，

<p>
  <%= link_to "安全退出", logout_path %>
</p>

保存 show.html.erb。打开 Web Server 手工测试看看，

$ ruby script/server

打开浏览器，登录到用户资料查看页面；



点击“安全退出”链接，我们看到系统将我们带到了用户登录页面；



再次刷新刚才那个用户资料显示页面，系统给我们呈现的是一张登录表单；事实说明我们已经成功登出了。




### 下节预告 ###

接下来的一章里，我们将会回到发送邮件的操作上，与之前发送激活邮件不同的是，下一次将会给忘记密码的用户发送一封用于找回密码的邮件。所以，我们下一章的主题就是找回密码。


### 提交工作成果到GIT仓库 ###

$ git status
$ git add .
$ git commit -m "A user can be logout."
$ git checkout master
$ git merge user_logout
$ git branch -d user_logout
$ git tag v5

（注意，真正的开发中可不是到功能开发完毕了才commit，而是边开发边add和commit。为了方便演示编码过程，文章中没有一一列举。）

标签： Cucumber, Rails, Rspec, TDD

Posted by 404