我正在使用这个堆栈:
我已经阅读了许多文章、手册、stackoverflow 主题、谷歌随机结果、博客等,但都非常不推荐。
使用实用的方法 (tl; dr here) 我只需要在不同的服务器状态下在 Devise 3 和 Backbone 之间进行一次真正的 session 并保持它,就像两个独立的项目一样。远程登录,你懂的。
我真的坚持这一点,所以我非常感谢你的建议。
谢谢你们。
最佳答案
就我个人而言,我在我的项目中遇到了同样的情况,Angular 而不是 Backbone 作为前端,Rails 4 API with Devise。我会尽量为你总结一下,假设我回答了你的问题。
要在您的场景中正确使用 session ,您需要确保:
请阅读 this article about CORS .如果您不熟悉 CORS,这篇文章应该为我的回答提供必要的背景。关于CSRF保护的一些信息是here
这是您的场景分步说明:
GET
请求如 http://yourserver/signin
POST
请求使用用户凭据(名称、密码)和 CSRF token 在 header 中以及当前未授权 session 在 cookie 中。请求包含 session 信息至关重要。否则它会在 Rails 端被授予不同的 CSRF token ,你会得到 WARNING: Can't verify CSRF token authenticity
信息。 以下是可以使其工作的方法:
OPTIONS
请求(预检请求)教 Rails 后端响应 CORS 请求的最简单方法是使用
rack-cors gem 。这也将提供正确的 CORS header 。
config.middleware.insert_before Warden::Manager, Rack::Cors do
allow do
origins '*' # it's highly recommended to specify the correct origin
resource '*',
:headers => :any,
:methods => [:get, :post, :options], # 'options' is really important
# for preflight requests
:expose => ['X-CSRF-Token'] #allows usage of token on the front-end
end
end
后端的最后一件事是提供 CSRF token 。自定义设计 Controller 应该完美地处理这个任务。
class SessionsController < Devise::SessionsController
after_action :set_csrf_header, only: [:new, :create, :destroy]
#...
protected
def set_csrf_header
response.headers['X-CSRF-Token'] = form_authenticity_token
end
end
请注意,第一次发送时需要 CSRF token
GET
请求 ( new
),当您通过 POST
提交凭据时请求 ( create
) 以及当您通过发送 DELETE
退出您的应用程序时请求 ( destroy
)。如果您在退出时不发送 CSRF token ,则在不重新加载页面的情况下将无法登录。在 config/routes.rb 中的某处不要忘记指定您现在正在使用自定义 Controller :
/config/routes.rb
devise_for :users, :controllers => {:sessions => "sessions"}
现在,到前端。请看 this script覆盖标准
Backbone.sync
并处理与 Rails 服务器的通信。它几乎很好,需要进行一些更正:
beforeSend: function( xhr ) {
if (!options.noCSRF) {
// we dont have csrf-token in the document anymore
//var token = $('meta[name="csrf-token"]').attr('content');
// New Line #1
// we will get CSRF token from your application.
// See below for how it gets there.
var token = YourAppName.csrfToken;
if (token) xhr.setRequestHeader('X-CSRF-Token', token);
// New Line #2
// this will include session information in the requests
xhr.withCredentials = true;
}
//..some code omitted
//................
// Trigger the sync end event
var complete = options.complete;
params.complete = function(jqXHR, textStatus) {
// New Lines #3,4
// If response includes CSRF token we need to remember it
var token = jqXHR.getResponseHeader('X-CSRF-Token')
if (token) YourAppName.csrfToken = token;
model.trigger('sync:end');
if (complete) complete(jqXHR, textStatus);
};
}
我不确定这是否有资格作为对您问题的完整答案,但至少可以从它开始。这可能不是最好的方法,但它是方法。如果您有任何问题,请告诉我。
关于backbone.js - 使用 Devise 3 和 Backbone 进行用户身份验证的最佳方法是什么?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21483894/