Отключить токен аутентификации в Rails 2 для веб-сервисов?

Question

Вместо того, чтобы просто заполнять форму в HTML, также должна быть возможность просто отправить запрос на публикацию, содержащий параметры. Можно ли отключить токен аутентификации, если, например, флаг Accept установлен на 'application / JSON 'в заголовке HTTP?

Answer 1

Защита от подделки запросов работает на основе проверки типа содержимого запросов и проверяет только те запросы, которые могут быть сделаны браузером. Например, ни один браузер не может сгенерировать запрос с типом контента, установленным в «application / json». Вот почему процедура защиты от подделки рельсов не проверит. Итак, если вы хотите сделать json-запрос к вашему приложению, установите заголовок типа контента на «application / json», и он должен работать.

Answer 2

Я знаю, что есть способ отключить его для контроллера или действия. Не уверен насчет типа контента. Не проще ли добавить токен аутентификации в каждый запрос json? В Интернете довольно мало статей, как это сделать (например, здесь и здесь ).

Answer 3

Не проще ли добавить токен аутентификации в каждый запрос json?

Да, но тогда клиент должен будет сначала отправить запрос только для получения токена, а затем другой с фактическим запросом POST, что не имеет смысла ИМХО ..