私の場合、トークン認証が必要ですか？

Question

私は、データベースからデータを取得するためにレールを使ってサーバーにajax呼び出しを行うクライアント側のmvcに依存するWebアプリケーションを構築しています。

私は、ユーザーがdeviseを使用して認証されることを要求するコントローラにajax呼び出しが行われるため、ajax呼び出しを認証するために認証可能なトークンを使用しなければならないと考えました。

しかし、私は、セッションデータからよりも、通常の方法、ログインユーザーが保存され、各Ajaxを使って送信された場合は、トークン認証を使用する必要はありません呼び出すことに気付きました...

は、この悪いですアプローチ？

Answer 1

問題はありません。ユーザーが既にログインしている場合は、すべてのAjaxリクエストもすでに認証されています。ただし、ユーザーがログアウトしている場合は、ajaxリクエストも認証されず、ajaxコールのコントローラで認証が必要な場合は拒否される可能性があります。私の理解によれば、認証トークンは、ユーザに投票のためのリンクが付いた電子メールを送信するなど、ユーザが最初にログインする必要なく、特定の要求に対してログインしたユーザを取得させることです。ユーザーがそのリンクをたどった場合、ブラウザはそれらを自動的にログに記録し、その事実をトークンのない後続のリクエストに残すと思います。