레일 웹 서비스 및 인증에 대한 질문

Question

내가하고있는 일은 레일스 웹 서비스 API로 파이어 폭스 플러그인을 사용하여 사용자가 어떤 사이트에 액세스 할 때 여행 로그를 만들 수있게하는 것입니다.이 요구 사항에 대해 2 가지가 필요했습니다.

1. skip_before_filter : 특정 컨트롤러에 verify_authenticity_token (I는 사용자가 API가 아니라 양식을 통해 그것을 만들 수 있습니다, 그래서이 비활성화되므로).
2. 사용자는 모든 요청에 ​​사용자 이름과 비밀번호를 제공해야합니다 (예 : curl -u username : pass -d "..."http://localhost:3000/logs). 내가

   • 내가 내 파이어 폭스 플러그인은 사용자 로그인을 요청할 수 있도록함으로써보다 쉽게 ​​만들 수 있습니다 다음 쿠키를 사용 부탁하고 싶은 것이 무엇

, 그래서 필요 와 사용자 이름 암호마다 시간을 보낼 수 없습니다 의뢰.

skip_before_filter : verify_authenticity_token이 나쁜 일이거나 필요한 작업입니까?

감사

레일 양식을 렌더링

Answer 1

, 그것은 긴 문자열 (인증 토큰)와 숨겨진 필드가 포함되어 있습니다. verify_authenticity_token 필터는 해커가 수행 할 것처럼 POST 요청을 위조하는 것과 달리 사용자가 서버에서 실제로 렌더링 한 양식을 제출하도록합니다. 쿠키와 세션을 사용하는 경우 실제로는 read about how this works이어야하며 플러그인과 함께 작동하도록 사용자 정의하십시오.

그러나 대신 HTTP basic authentication을 사용하지 않으시겠습니까? 모든 페이지보기에서 쿠키를 보내는 것보다 약간 빠르며 설정하는 것이 훨씬 쉬워야합니다. 플러그인에서 사용자 이름/비밀번호를 묻는 메시지를 보낸 다음 요청할 때마다 메시지를 보냅니다.

세션에 사용자 데이터를 저장해야하는 경우 쿠키를 사용해야합니다.