我正在构建一个依赖于客户端mvc的Web应用程序,该应用程序使用rails对服务器进行ajax调用以从数据库中获取数据。
我认为,由于对需要用户使用设计进行身份验证的控制器进行了ajax调用,因此我必须使用令牌可验证来验证ajax调用。
但是我注意到如果用户以正常的方式登录,那么会话数据的存储和每次ajax调用一起发送都没有必要使用令牌认证......
这是一个糟糕的方法吗?
答案 0 :(得分:0)
我认为没有任何问题。如果用户已登录,则任何ajax请求也已经过身份验证。但是,如果用户已注销,则ajax请求也将被取消身份验证,如果ajax调用的控制器需要进行身份验证,则可能会被拒绝。据我所知,auth令牌是让用户登录特定请求而无需用户首先登录,例如向用户发送带有投票链接的电子邮件等。我认为,如果用户关注该链接,浏览器将自动将其记录下来,并在没有令牌的情况下为后续请求保留该事实。