自定义Rails真实性令牌

Question

我正在使用一个简单的服务器，应该保存Android应用程序的高分。我在使用cURL时遇到问题，因为我需要使用一直在更改的真实性令牌来执行请求，所以有没有办法设置默认令牌，例如每当有人试图在某个时候执行请求时“秘密”页面（创建方法）？ 基本上我正在尝试使用参数localhost：3000 / users执行POST请求，这是创建方法，但我还需要包含始终更改的令牌，有没有办法使用自定义的？

我的控制器看起来像这样：

class UsersController < ApplicationController
  before_action :set_user, only: [:show, :edit, :update, :destroy]
  TOKEN = "secret"

  # GET /users
  # GET /users.json
  def index
    @users = User.all
  end

  # GET /users/1
  # GET /users/1.json
  def show
  end

  # GET /users/new
  def new
    @user = User.new
  end

  # GET /users/1/edit
  def edit
  end

  # POST /users
  # POST /users.json
  def create
    @user = User.new(user_params)
    respond_to do |format|
      if @user.save
        format.html { redirect_to @user, notice: 'User was successfully created.' }
        format.json { render action: 'show', status: :created, location: @user }
      else
        format.html { render action: 'new' }
        format.json { render json: @user.errors, status: :unprocessable_entity }
      end
    end
  end

  # PATCH/PUT /users/1
  # PATCH/PUT /users/1.json
  def update
    respond_to do |format|
      if @user.update(user_params)
        format.html { redirect_to @user, notice: 'User was successfully updated.' }
        format.json { head :no_content }
      else
        format.html { render action: 'edit' }
        format.json { render json: @user.errors, status: :unprocessable_entity }
      end
    end
  end

  # DELETE /users/1
  # DELETE /users/1.json
  def destroy
    @user.destroy
    respond_to do |format|
      format.html { redirect_to users_url }
      format.json { head :no_content }
    end
  end

  private
    # Use callbacks to share common setup or constraints between actions.
    def set_user
      @user = User.find(params[:id])
    end

    # Never trust parameters from the scary internet, only allow the white list through.
    def user_params
      params.require(:user).permit(:name, :score)
    end
private
    def authenticate
      authenticate_or_request_with_http_token do |token, options|
        token == TOKEN
      end
    end

end

在我的终端我用过：

  

curl http://mysite.com/users/ --cookie-jar cookie | grep csrf

获取令牌

curl http://mysite.com/users/ --data "user[name]=jelly&user[score]=14&authenticity_token=here_goes_the_token_obtained_before" --cookie cookie

这是用于发出请求

所以再次将这个令牌从here_goes_the_token_obtained_before更改为eq的“秘密”是什么？

谢谢！

Answer 1

解决方法。

在控制器中：

skip_before_filter :verify_authenticity_token, only: :create
before_filter :verify_token, only: :create
#....
private
def verify_token
   params[:authenticity_token] == MY_CONSTANT_TOKEN
end

虽然我建议你分开HTML和API（JSON）控制器，并为每个组使用不同的auth机制。它会更清洁。