ruby-on-rails - Rails 4 真实性 token

Question

当我遇到一些真实性 token 问题时，我正在开发一个新的 Rails 4 应用程序(在 Ruby 2.0.0-p0 上)。

在编写响应 json 的 Controller 时(使用 respond_to 类方法)，我得到了 create我开始行动 ActionController::InvalidAuthenticityToken当我尝试使用 curl 创建记录时出现异常.

我确定我设置了 -H "Content-Type: application/json"我用 -d "<my data here>" 设置数据但仍然没有运气。

我尝试使用 Rails 3.2(在 Ruby 1.9.3 上)编写相同的 Controller ，但我没有遇到任何真实性 token 问题。我四处搜索，发现 Rails 4 中的真实性 token 发生了一些变化。据我了解，它们不再自动插入表单中了吗？我想这会以某种方式影响非 HTML 内容类型。

有什么方法可以解决这个问题，而不必请求 HTML 表单、获取真实性 token ，然后使用该 token 发出另一个请求？还是我完全遗漏了一些非常明显的东西？

编辑:我刚刚尝试使用脚手架在新的 Rails 4 应用程序中创建新记录而不做任何更改，但我遇到了同样的问题，所以我想这不是我做的。

Answer 1

我想我刚刚弄明白了。我更改了(新的)默认值

protect_from_forgery with: :exception

到

protect_from_forgery with: :null_session

根据 ApplicationController 中的注释。

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

您可以通过查看 request_forgery_protecton.rb 的源代码来了解差异，或者更具体地说，查看以下行:

在Rails 3.2 :

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

在Rails 4 :

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

哪个会调用the following :

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end