Rails 3 - Comment passer un jeton d'authentification à un framework côté client comme Sproutcore

Question

Je suis à la recherche de développer une application web côté client Sproutcore avec un backend Rails 3. L'un des problèmes que j'imagine est de devoir passer le jeton d'authentification avec la communication entre Sproutcore et Rails.

Quand le jeton CSRF est-il régénéré? Est-ce sur une base par session? Serait-il acceptable de désactiver la vérification d'authenticité pour les demandes de connexion, puis de renvoyer le jeton d'authentification à partir de la connexion et de le stocker du côté client pour les demandes futures?

Answer 1

Vous pouvez charger le jeton d'authenticité, que l'utilisateur soit connecté ou non. Il est stocké avec la session et ne changera pas après la connexion d'un utilisateur et vous n'avez pas besoin de désactiver le contrôle d'authenticité. J'utilise cet extrait pour définir une variable javascript:

<%= javascript_tag "var AUTH_TOKEN = #{form_authenticity_token.inspect};" if protect_against_forgery? %>