Чтобы прошиться для аутентификации, вам нужен "хак", который довольно сложно заставить работать.
не знаю, используете ли вы uploadify, но вам может понадобиться то же решение, которое указано здесь:
http://thewebfellas.com/blog/2008/12/22/flash-uploaders-rails-cookie-based-sessions-and-csrf-rack-middleware-to-the-rescue
Единственная проблема в том, что я никогда не находил 100% работающее решение в интернете, я начал с этого поста и решил эту проблему вручную, довольно мучительно здесь, на работе.
Насколько я помню, я добавил исключение для protect_from_forgery в свой метод tmp_uploader
Еще одна необходимая вещь была на рендере для метода, где я должен был конкретно указать:
render :action => 'tmp_uploader.js.rjs'
Существует также проблема с фильтрами, использующими метод response_to, который использовал мой AppController, также добавил метод tmp_uploader к его: кроме списка
Извините, я не могу точно вспомнить, что еще я должен был сделать, но это действительно была большая боль.