我正在使用rails作为服务器编写非浏览器应用程序。 据我了解,我需要将收到的会话密钥添加到任何连续的请求中。
如果通过浏览器进行记录,确实会检查是否在某个会话期间删除了cookie,以便之后的任何请求都会失败。
但是,在我的应用程序中,我可以在登录后发送任何请求,不包括会话cookie,它将通过会话测试并执行。
我可以指出我禁用了protect_from_forgery但这应该仅适用于authenticity_token检查,不应该吗?
任何帮助将不胜感激。 谢谢。
答案 0 :(得分:0)
如果这是非浏览器应用程序,则没有真正的理由使用cookie(或会话)。只需通过在每个请求上发送凭据作为HTTP标头的一部分,使用basic authentication进行身份验证。基本身份验证凭据可以是传统的用户名和密码,或者更适合您需要的内容,如api_key或令牌。