0

我正在使用一个简单的服务器,它应该保存来自 android 应用程序的高分。我在使用 cURL 时遇到问题,因为我需要使用一直在变化的真实性令牌来执行请求,所以有没有办法设置默认令牌,例如每次有人尝试在某个特定位置发出请求时设置“秘密”页面(创建方法)?基本上我正在尝试使用参数对 localhost:3000/users 进行 POST 请求,这是创建方法,但我还需要包含始终更改的令牌,有没有办法使用自定义令牌?

我的控制器看起来像这样:

class UsersController < ApplicationController
  before_action :set_user, only: [:show, :edit, :update, :destroy]
  TOKEN = "secret"

  # GET /users
  # GET /users.json
  def index
    @users = User.all
  end

  # GET /users/1
  # GET /users/1.json
  def show
  end

  # GET /users/new
  def new
    @user = User.new
  end

  # GET /users/1/edit
  def edit
  end

  # POST /users
  # POST /users.json
  def create
    @user = User.new(user_params)
    respond_to do |format|
      if @user.save
        format.html { redirect_to @user, notice: 'User was successfully created.' }
        format.json { render action: 'show', status: :created, location: @user }
      else
        format.html { render action: 'new' }
        format.json { render json: @user.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /users/1
  # PATCH/PUT /users/1.json
  def update
    respond_to do |format|
      if @user.update(user_params)
        format.html { redirect_to @user, notice: 'User was successfully updated.' }
        format.json { head :no_content }
      else
        format.html { render action: 'edit' }
        format.json { render json: @user.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /users/1
  # DELETE /users/1.json
  def destroy
    @user.destroy
    respond_to do |format|
      format.html { redirect_to users_url }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_user
      @user = User.find(params[:id])
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def user_params
      params.require(:user).permit(:name, :score)
    end
private
    def authenticate
      authenticate_or_request_with_http_token do |token, options|
        token == TOKEN
      end
    end

end

在我的终端中,我使用过:

curl http://mysite.com/users/ --cookie-jar cookie | grep csrf

用于获取令牌

curl http://mysite.com/users/ --data "user[name]=jelly&user[score]=14&authenticity_token=here_goes_the_token_obtained_before" --cookie cookie

这是为了提出请求

那么还有什么方法可以将令牌从 here_goes_the_token_obtained_before 更改为 eq 的“秘密”?

谢谢 !

4

1 回答 1

1

解决方法。

在控制器中:

skip_before_filter :verify_authenticity_token, only: :create
before_filter :verify_token, only: :create
#....
private
def verify_token
   params[:authenticity_token] == MY_CONSTANT_TOKEN
end

尽管我建议您将 HTML 和 API(JSON) 控制器分开,并为每个组使用不同的身份验证机制。会干净很多。

于 2013-10-16T17:01:16.343 回答