0

我正在构建一个依赖于客户端 mvc 的 Web 应用程序,它使用 rails 对服务器进行 ajax 调用以从数据库中获取数据。

我认为,由于 ajax 调用是对要求用户使用 devise 进行身份验证的控制器进行的,所以我必须使用可验证的令牌来验证 ajax 调用。

但是我注意到,如果用户以正常方式登录,而不是因为会话数据是随每个 ajax 调用存储和发送的,则不需要使用令牌身份验证......

这是一个不好的方法吗?

4

1 回答 1

0

我看不出有什么问题。如果用户已经登录,那么任何 ajax 请求也都已经过身份验证。但是,如果用户注销,则 ajax 请求也将未经身份验证,并且如果 ajax 调用的控制器需要身份验证,则可能会被拒绝。据我了解,身份验证令牌是让用户登录特定请求,而无需用户先登录,例如向用户发送带有投票链接的电子邮件或其他内容。而且我认为,如果用户点击该链接,浏览器将自动登录并在没有令牌的情况下为后续请求保留该事实。

于 2012-11-01T16:32:10.697 回答