我正在构建一个依赖于客户端 mvc 的 Web 应用程序,它使用 rails 对服务器进行 ajax 调用以从数据库中获取数据。
我认为,由于 ajax 调用是对要求用户使用 devise 进行身份验证的控制器进行的,所以我必须使用可验证的令牌来验证 ajax 调用。
但是我注意到,如果用户以正常方式登录,而不是因为会话数据是随每个 ajax 调用存储和发送的,则不需要使用令牌身份验证......
这是一个不好的方法吗?
我正在构建一个依赖于客户端 mvc 的 Web 应用程序,它使用 rails 对服务器进行 ajax 调用以从数据库中获取数据。
我认为,由于 ajax 调用是对要求用户使用 devise 进行身份验证的控制器进行的,所以我必须使用可验证的令牌来验证 ajax 调用。
但是我注意到,如果用户以正常方式登录,而不是因为会话数据是随每个 ajax 调用存储和发送的,则不需要使用令牌身份验证......
这是一个不好的方法吗?