我正在创建一个包含User和File模型的Rails应用。用户“有很多”文件。问题是用户永远不会通过Web应用程序显式创建文件。我正在构建桌面应用程序来监视文件系统(想想Dropbox)并创建/更新File记录。
这样做的正确方法是让桌面应用程序向我的Rails应用程序发出适当的POST请求,而不提供在Web应用程序中创建File记录的视图。
此外,要求在桌面应用程序发出的POST请求中发送用户特定的安全令牌以验证用户的文件记录是否足够安全?
答案 0 :(得分:1)
听起来你走在正确的轨道上。您的Rails应用程序基本上是公开一个API,它接受上传的文件并代表用户创建关联的模型以跟踪文件元数据。您仍然可以在Web应用程序中公开视图,以编辑文件元数据并删除文件。
安全性是其自身的一个完整主题。至少,您可能希望通过SSL进行所有通信,并在设置超时时使令牌过期。 Devise可以通过TokenAuthenticatable实现为您完成此任务。您可能还想限制文件上传大小和限制请求。