我正在研究使用Rails 3后端开发Sproutcore客户端Web应用程序。我想象的一个问题是必须传递身份验证令牌以及Sproutcore和Rails之间的通信。
CSRF令牌何时重新生成?它是基于每个会话吗?是否可以禁用登录请求的真实性检查,然后从登录中传回身份验证令牌并将其存储在客户端以供将来请求使用?
答案 0 :(得分:0)
无论用户是否登录,您都可以加载真实性令牌。它与会话一起存储,在用户登录后不会更改,您不需要禁用真实性检查。我使用此代码段设置javascript变量:
<%= javascript_tag "var AUTH_TOKEN = #{form_authenticity_token.inspect};" if protect_against_forgery? %>