關於rails webservice和身份驗證的問題

Question

我正在做的是rails web服務API，它允許用戶在訪問任何網站時使用firefox插件創建旅行日誌。對於此需求，我需要2件事。

1. skip_before_filter：特定控制器中的verify_authenticity_token（因爲我讓用戶通過API創建它而不是表單，所以我禁用了它）。
2. 用戶必須爲每個請求提供用戶名和密碼（例如curl -u username：pass -d「...」http://localhost:3000/logs）。

我想問一下是

• 我可以使它更容易讓我的 Firefox插件要求用戶登錄 然後用餅乾什麼，所以沒有必要每次都派 用戶名密碼與 請求。
• 請問skip_before_filter：verify_authenticity_token是不好的事情還是必要的事情？

由於

Answer 1

當滑軌呈現一個的形式，它包括具有一個長字符串（真實性令牌）的隱藏字段。 verify_authenticity_token過濾器可確保用戶提交服務器實際呈現的表單（與僞造POST請求相反，正如黑客所做的那樣）。如果您使用cookie和會話，您應該真的read about how this works並嘗試定製它以與您的插件一起使用。

但是，爲什麼不使用HTTP basic authentication呢？它比在每個頁面視圖上發送cookie稍快，並且應該更容易設置。正如你所說，你可以讓你的插件提示輸入用戶名/密碼，然後用每個請求發送它們。

但是，如果您需要在會話中存儲用戶數據，則必須使用cookie。