ruby - 如何让外部 API 在不关闭 protect_from_forgery 的情况下发送 POST？

Question

我正在使用 Rails 4.1.0。

我在一个项目中，我的选择非常有限。我需要一个表单向外部 API 提交数据。我将表单的值存储在 session 中，因为此应用程序是基于多表单的。

问题是当 API POST 返回到我的 Rails 应用程序时， session 无效。

我知道发生这种情况是因为 protect_from_forgery 在我的 app/controllers/application_controller.rb

如何让 session 保持更长的时间，直到 API POST 返回到我的确认页面(表示表单已成功提交)？

Answer 1

您只需执行一个操作即可关闭请求伪造保护:

skip_before_action :verify_authenticity_token, only: :my_action_name

将 :my_action_name 替换为 API POST 返回的操作的名称。

来源:http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html#method-i-protect_from_forgery