我正在构建一个使用 API 的应用程序,并且还具有成为具有登录、注册等功能的网站的功能。当我使用像 POSTman 这样的客户端服务器应用程序时,我想使用基本身份验证,但用户名身份验证的密码应该是用户的用户名和密码。当用户登录 API 时,它应该能够看到该特定用户的帖子。无论如何让应用程序使用用户的用户名和密码而不是每个用户的具体密码来实现基本身份验证?我一直在努力寻找有关此事的任何信息。任何帮助和见解将不胜感激,如果需要查看任何代码,我将很乐意展示它。
【问题讨论】:
标签: ruby-on-rails basic-authentication
这也可以在没有设计的情况下实现:
before_action :require_authentication
def require_authentication
authenticate_or_request_with_http_basic do |u,p|
user = User.find_by(username: u)
true if user && user.authenticate(p)
end
end
【讨论】:
authenticate_or_request_with_http_basic 正在寻找一个真或假的返回值,因此如果您的方法返回得太早或引发异常,它可能会出现意外行为。我的建议是使用每种可能的组合对该控制器进行单元测试——正确和错误的密码、无密码等。这样你就可以确信它按预期工作。如果您遇到意外情况,应将其作为另一个问题发布。
这可以使用devise 来实现。它是 Rails 的认证宝石。它的文档非常好。
【讨论】: