我有一个用于用户拥有的一些资源的 json API。我已使用此 railscast 中所述的 API 访问密钥保护 API 访问:http: //railscasts.com/episodes/352-securing-an-api
这很好用,当他们想要添加/更新/删除资源时,我为每个用户必须提交一个唯一的密钥。我遇到的问题是,除了 API 之外,用户应该能够从 Web 表单中编辑资源。但这不起作用,因为表单没有在标头中提交 API 密钥,因此访问被拒绝。
有没有办法让表单为用户发送访问密钥,因为他们已经登录了?或者也许我做错了?也许我应该检查是否存在活动会话,在这种情况下将其用作身份验证而不是 API 密钥?