我正在使用 Ruby on Rails 构建 API,并(尝试)使用名为 Devise Token Auth 的 gem 构建用户身份验证。但我不确定在每个控制器操作之前验证/验证用户的最佳方法。
我知道before_action :authenitcate_user! 呼叫,但它认为我的用户没有登录,因为我从外部客户端拨打电话。
我是否需要将其他参数与我没有考虑的请求一起传递?比如令牌或会话 ID?
【问题讨论】:
标签: ruby-on-rails ruby authentication devise token
尝试 simple_token_authentication https://github.com/gonzalo-bulnes/simple_token_authentication 与 Devise 一起使用,并且易于集成。 您只需发送用户身份验证令牌和电子邮件,即可执行身份验证。
【讨论】:
如果您正在构建轻量级 API 应用程序,我会考虑使用 Knock。
Devise 是传统应用程序的绝佳解决方案,在这些应用程序中,您需要一个完整的身份验证解决方案,包括注册、密码编辑等。但它是围绕基于会话的身份验证设计的,并且由于可用的自定义数量众多,代码库有点像怪物 -使用基于令牌的身份验证,您只会使用其中的 1%。
基本设置是:
class ApplicationController < ActionController::API
include Knock::Authenticable
prepend_before_action :authenticate_user
end
现在,如果我们发送一个没有有效 Authorization: Bearer SOME_TOKEN 标头的请求,Knock 将返回一个 401 - Unauthorized 响应。
我们可以这样测试:
class UsersControllerTest < ActionDispatch::IntegrationTest
def token
Knock::AuthToken.new(payload: { sub: users(:one).id }).token
end
it 'does not allow an unauthenicated request' do
get users_path
assert_response :unauthorized
end
it 'allow an authenicated request' do
get users_path, headers: { authorization: "Bearer #{token}" }
assert_response :success
end
end
【讨论】: