期待，想去！

刚遇到此类问题，无解，偶尔性的。LZ 解决了么？@kehao

@jimrokliu
user.update_attrubutes 这个是 model 中的属性要验证 user.update_attrubute 这个不需要验证 user.save(:validate => false) 这个不好，password 和 password_confirmation 也都绕过了。 如果自己再去校验太麻烦

@chucai @stc采用Devise的默认方法很好，不去修改了，自己改的不伦不类也就失去了安全的初衷，在 model 中添加一些过滤条件去过滤些特殊的用户。THX! :D

@chucai ORZ...实在没办法 就重写上面的update方法

@stc

# PUT /resource/password
  def update
    self.resource = resource_class.reset_password_by_token(params[resource_name])

    if resource.errors.empty?
      flash_message = resource.active_for_authentication? ? :updated : :updated_not_active
      set_flash_message(:notice, flash_message) if is_navigational_format?
      sign_in(resource_name, resource)
      respond_with resource, :location => after_sign_in_path_for(resource)
    else
      respond_with resource
    end
  end

这个是默认的方法，那 user.update_with_password 我只有去重写这个方法？

占个坑，报名 学习学习～～