4

我正在研究开发一个带有 Rails 3 后端的 Sproutcore 客户端 web 应用程序。我设想的问题之一是必须通过身份验证令牌以及 Sproutcore 和 Rails 之间的通信。

CSRF 令牌何时重新生成?它是基于每个会话的吗?是否可以禁用登录请求的真实性检查,然后从登录中传回身份验证令牌并将其存储在客户端以供将来请求?

4

1 回答 1

0

无论用户是否登录,您都可以加载真实性令牌。它与会话一起存储,并且在用户登录后不会更改,您无需禁用真实性检查。我使用这个片段来设置一个 javascript 变量:

<%= javascript_tag "var AUTH_TOKEN = #{form_authenticity_token.inspect};" if protect_against_forgery? %>
于 2011-05-16T20:43:03.323 回答