Rails的session默認為當用戶關閉瀏覽器時終止
我們可以在config/environment.rb里設置它:

CGI::Session.expire_after 1.month

這需要一個插件，具體session設置請參考http://wiki.rubyonrails.org/rails/pages/HowtoChangeSessionOptions
這不是今天我們討論的重點

出于安全問題，有時候我們需要通知用戶你的session快超時了，如在線銀行系統等
讓我們看看在Rails里怎樣做

1，bank_account_controller.rb

class BankAccountController < ApplicationController
  before_filter :update_activity_time, :except => :session_expiry
  def update_activity_time
    session[:expires_at] = 1.minutes.from_now
  end
  
  def session_expiry
    @time_left = (session[:expires_at] - Time.now).to_i
    unless @time_left > 0
      reset_session
      render '/signin/redirect'
    end
  end
end

該controller里定義了update_activity_time這個before_filter，它設置session的超時時間，這里為了demo我們設置為1分鐘

2，bank_account/index.rhtml

<html>
    <head>
        <%= javascript_include_tag :defaults %>
    </head>
    <body>
        <div id='header'></div>
        <%= periodically_call_remote :url => {
                :action => 'session_expiry'},
                :frequency => 1,
                :update => 'header' %>
        <div id='body'>Here's where your application's real functionality goes.</div>
    </body>
</html>

我們使用periodically_call_remote這個helper方法來每間隔1秒遠程調用一次session_expiry這個action，并更新header這個div

3，bank_account/session_expiry.rhtml

<span style='color: read; font-weight: bold'>
    Your session will expire in <%= @time_left %> seconds
</span>

這里顯示了我們的session還有多久會expire

4，signin/redirect.rjs

page << "window.location = '#{signin_url}';"

我們在session超時的時候自動redirect到signin_url(需要我們在routes.rb里定義)