【发布时间】:2015-08-14 11:40:26
【问题描述】:
更新(2015 年 8 月 14 日):感谢 @EugZol 的想法,我更新了标题,因为之前的标题具有误导性。
我现在正在尝试构建 Rails REST API 服务器。
我已经阅读了其他人的帖子,我可以使用protect_from_forgery with: :null_session 来处理 JSON 请求的 CSRF 问题,尤其是 POST 请求。我认为这个 null_session 只会清理会话(这对 JSON 请求没用)。
但是我怎样才能对用户是否登录进行身份验证呢?我不想在每个请求中都发送密码。所以我认为:null_session 可能不安全。
如果您能提供一些关于以下方面的想法,我将不胜感激:
- 如果指定了
:null_session,如何对 REST API 服务器进行身份验证检查? - 如果解决方案是使用
authenticate_token,我应该将此令牌放在我的 JSON 响应中的什么位置?客户应该把它放在哪里? - 按照上一个:我需要在数据库中保存该令牌的摘要吗?我认为现在不会使用会话...
非常感谢。
【问题讨论】:
标签: ruby-on-rails json rest