ruby-on-rails – 使用Ruby on Rails的angular.js中的安全性

对于身份验证,您只需要：

>用户模型
>一个处理登录的控制器,该方法检查用户登录/密码,创建一个具有所需信息的会话对象(会话存储在服务器端,客户端使用一个cookie将每个请求关联到一个会话)
>用于处理注销的控制器,基本上只会破坏用户的会话

你有一个很好的实现in the rails tutorial here,或者你可以找到几个插件(authlogic似乎是stackoverflow usershere的推荐).

然后,使用静态HTML页面或AJAX处理身份验证之间几乎没有区别：

> HTML请求将向控制器发送登录名和密码,这将在会话创建后自动将其重定向到另一个内部页面
>在AJAX中,客户端的JavaScript应该发送ajax请求,查找服务器的答案(成功/失败)并启动适应的动作(如果失败,消息如果成功则重定向)

在这两种情况下,重要的是检查用户是否在每个控制器上进行身份验证,否则任何人都可以启动操作或访问内部信息.