2

作为我的应用程序的一部分,用户可以通过电子邮件批准某些“请求”。请求有自己的模型,因此每个请求都有唯一的 id。

用户在链接中收到一封带有命名路由的电子邮件:'approve/:id' 其中 :id 是请求的 id。然后,approve 方法处理批准逻辑等。

如何防止用户在没有事先登录的情况下批准向其他用户提出的请求?由于 id 可以在 URL 中自由显示,我猜需要 GUID 还是?

4

1 回答 1

2

如果您真的想这样做,那么是的,您需要某种 GUID。也许是 user_id 或电子邮件地址的加密哈希(?)。所以你最终使用/approve/:id/:GUID.

我很惊讶您不希望用户登录,请记住,如果他们登录,您可以自动将他们重定向到批准。此外,如果 cookie 仍然有效,则用户可能已经登录。

于 2012-06-26T22:06:53.227 回答