我个人在我的项目中也遇到了同样的情况,使用 Angular 而不是 Backbone 作为前端,Rails 4 API 使用 Devise。假设我的问题是正确的,我将尝试为您总结一下。
要在您的场景中正确使用会话,您需要确保:
- 浏览器正确处理通信(即它们不会因为请求不符合 CORS 政策而弄乱您的数据)
- 而且,您的请求可以通过 Rails CSRF 保护
请阅读this article about CORS。如果您不熟悉 CORS,这篇文章应该为我的回答提供必要的背景。有关 CSRF 保护的一些信息是here
这是您的场景分步说明:
- Backbone.js 发送
GET 请求如http://yourserver/signin
- Rails Server 发送将存储在浏览器中的会话 cookie 和 CSRF 令牌,这些令牌可以存储在您的 Backbone 应用程序中的某个位置。
- Backbone.js 发送
POST 请求,其中包含用户凭据(名称、密码)和标头中的 CSRF 令牌以及 cookie 中的当前未经授权的会话。请求包含会话信息至关重要。否则,它将在 Rails 端获得不同的 CSRF 令牌,您将收到 WARNING: Can't verify CSRF token authenticity 消息。
- 如果凭据正确,Backbone.js 会返回授权会话。
以下是让它工作的方法:
-
Rails 后端应正确响应来自前端的请求。这意味着它应该:
- 响应
OPTIONS 请求(预检请求)
- 发送正确的 CORS 标头
- 能够与前端通信 CSRF 令牌
-
前端应该:
- 能够使用凭据发送请求
- 获取并使用正确的 CSRF 令牌
教 Rails 后端响应 CORS 请求的最简单方法是使用
rack-cors宝石。这也将提供正确的 CORS 标头。
config.middleware.insert_before Warden::Manager, Rack::Cors do
allow do
origins '*' # it's highly recommended to specify the correct origin
resource '*',
:headers => :any,
:methods => [:get, :post, :options], # 'options' is really important
# for preflight requests
:expose => ['X-CSRF-Token'] #allows usage of token on the front-end
end
end
后端的最后一件事是提供 CSRF 令牌。自定义设计控制器应该可以完美地处理这个任务。
class SessionsController < Devise::SessionsController
after_action :set_csrf_header, only: [:new, :create, :destroy]
#...
protected
def set_csrf_header
response.headers['X-CSRF-Token'] = form_authenticity_token
end
end
请注意,当您首次发送 GET 请求 (new)、通过 POST 请求 (create) 提交凭据以及通过发送 DELETE 退出应用程序时,您需要 CSRF 令牌请求(destroy)。如果您在退出时不发送 CSRF 令牌,您将无法在不重新加载页面的情况下登录。
在 config/routes.rb 中的某处不要忘记指定您现在正在使用自定义控制器:
/config/routes.rb
devise_for :users, :controllers => {:sessions => "sessions"}
现在,到前端。请查看this script,它覆盖标准Backbone.sync 并处理与Rails 服务器的通信。
它几乎是好的,需要进行一些更正:
beforeSend: function( xhr ) {
if (!options.noCSRF) {
// we dont have csrf-token in the document anymore
//var token = $('meta[name="csrf-token"]').attr('content');
// New Line #1
// we will get CSRF token from your application.
// See below for how it gets there.
var token = YourAppName.csrfToken;
if (token) xhr.setRequestHeader('X-CSRF-Token', token);
// New Line #2
// this will include session information in the requests
xhr.withCredentials = true;
}
//..some code omitted
//................
// Trigger the sync end event
var complete = options.complete;
params.complete = function(jqXHR, textStatus) {
// New Lines #3,4
// If response includes CSRF token we need to remember it
var token = jqXHR.getResponseHeader('X-CSRF-Token')
if (token) YourAppName.csrfToken = token;
model.trigger('sync:end');
if (complete) complete(jqXHR, textStatus);
};
}
我不确定这是否可以作为对您问题的完整答案,但至少可以从它开始。这可能不是最好的方法,但它就是方法。如果您有任何问题,请告诉我。