À l'aide de Concevoir des jetons pour vous connecter, est construit dans cette?

Donc, je suis en train d'utiliser des jetons à Concevoir (version 1.0.3 avec Rails 2.3.8) pour permettre à un utilisateur d'ouvrir une session, mais je ne suis pas vraiment sûr où commencer.

http://zyphdesignco.com/blog/simple-auth-token-example-with-devise

Le tutoriel ci-dessus m'a aidé à tourner sur le jeton de la fonctionnalité, et a montré comment générer (ou supprimer) des jetons...mais le POINT de l'ensemble des jetons est de les utiliser pour autoriser un utilisateur, correct?

Quand je regarde un utilisateur dans la console, je peux dire de l'utilisateur.authentication_token, et obtenir quelque chose comme: "Qm1ne93n_XkgmQTvxDmm", qui est très bien...mais où dois-je aller à partir de là?

J'ai essayé de frapper le sign_in de la racine à l'aide de la commande suivante en ligne de commande:

curl-d "authentication_token=Qm1ne93n_XkgmQTvxDmm" localhost:3000/utilisateurs/sign_in

Et n'a certainement pas réussir à vous connecter.

Dans les séances de contrôleur, je vois qu'ils appellent:

authentifier(resource_name)

Qui je suppose est quelque part dans le module:

inclure Concevoir::Contrôleurs::InternalHelpers

qui est inclus, mais je ne sais pas où chercher pour que (ce n'est certainement pas dans la source du contrôleur de dossier). Si je pouvais regarder comment authentifier les œuvres, je pourrais voir si il la REGARDE même des jetons...

N'a Concevoir laissez vous fait une session avec des jetons, ou est-il juste un cadre pour les générer? Si elle ne vous permettent de connecter avec eux...COMMENT faites-vous cela? Pouvez-vous pas utiliser de boucle (c'est à dire, il faut être dans un navigateur? Si oui, je serais hafta rouler ma propre solution, j'ai BESOIN de la non-prise en charge du navigateur.). Si ça ne marche pas, comment puis-je roule mes propres?

InformationsquelleAutor Jenny | 2011-01-07
  1. 36

    Ma compréhension est que vous pouvez utiliser les jetons de vous connecter ou de frapper arbitraire pages qui ont besoin d'authentification, même avec cURL. Si vous regardez dans config/initializers/devise.rb, il devrait y avoir une ligne qui dit quelque chose comme:

    config.token_authentication_key = :auth_token

    Quel que soit le nom de la token_authentication_key est doit correspondre à ce que vous mettez comme la requête ou un paramètre de formulaire dans votre demande. Vous avez utilisé authentication_token dans votre exemple, vous ne savez pas si vous avez changé de concevoir.rb corresponde ou non.

    Si vous voulez comprendre comment les choses fonctionnent en interne, je voudrais essayer de git clone git://github.com/plataformatec/devise.git et de recherche pour les méthodes que vous avez besoin de précisions, de.

    Voici quelques exemples de cURL demandes (j'ai fait une coutume les Utilisateurs: SessionsController qui s'étend Concevoir::SessionsController et remplace la méthode de création de manipuler du JSON.)

    class Users::SessionsController < Devise::SessionsController
  def create
    resource = warden.authenticate!(:scope => resource_name, :recall => "#{controller_path}#new")
    set_flash_message(:notice, :signed_in) if is_navigational_format?
    sign_in(resource_name, resource)

    respond_to do |format|
      format.html do
        respond_with resource, :location => redirect_location(resource_name, resource)
      end
      format.json do
        render :json => { :response => 'ok', :auth_token => current_user.authentication_token }.to_json, :status => :ok
      end
    end
  end
end

    Et puis la boucle demandes que j'ai donné:

    curl -X POST 'http://localhost:3000/users/sign_in.json' -d 'user[email][email protected]&user[password]=password'
-> {"response":"ok","auth_token":"ABCDE0123456789"}

curl -L 'http://localhost:3000/profile?auth_token=ABCDE0123456789'
-> got page that I wanted that needs authentication
    • Merci beaucoup! Cela m'a vraiment aidé nodnod je ne savais pas que j'étais censé passer "auth jeton" (authentication_token est de savoir comment il est stocké dans la base de données). J'ai aussi pensé qu'il était censé être passé comme un journal, pas avec chaque commande. Fonctionne comme un charme, maintenant!
    • Anthony, pourriez-vous conseils ce qui pourrait être mauvais si auth_token n'est pas généré pendant de l'utilisateur sign_up/sign_in? Je suis en utilisant mongo_mapper. Dans le modèle que j'ai ensure_authentication_token! la méthode, qui remet un jeton s'il est vide.
    • Semble comme une question différente. Peut-être que vous pourriez ouvrir une autre question pour elle.
    • Hors sujet, je sais, mais Mike Bevz: Avez-vous également mettez-les dans un jeton d'authentification champ dans la base de données? Je me souviens quand j'ai commencé j'avais accidentellement ajouté uniquement pour le modèle, et non de la migration de base de données.
    • Grande réponse...!!
    InformationsquelleAutor Anthony Panozzo
  2. 5

    voir cet article: http://www.hyperionreactor.net/blog/token-based-authentication-rails-3-and-rails-2

    Fondamentalement tout ce que vous avez besoin est d'ajouter le jeton à vos demandes et vous êtes automatiquement authentifié, c'est à dire
    localhost:3000/posts.xml?auth_token=the_token

    InformationsquelleAutor zero_padded
  3. 2

    C'était un bon point de départ pour moi:

    Migration pour ajouter authentication_token:

    class AddTokenBasedAuthentication < ActiveRecord::Migration
  def change
    add_column :users, :authentication_token, :string
    add_index :users, :authentication_token, unique: true
  end
end

    Et puis dans le contrôleur de l'application:

    class ApplicationController < ActionController::Base
  before_filter :authenticate_user_from_token!
  before_action :authenticate_user!, except: <your login GET action>

  private 

  def authenticate_user_from_token!
    email = params[:email].presence
    user  = email && User.find_by(email: email)

    sign_in user if user && Devise.secure_compare(user.authentication_token, params[:auth_token])
  end
end

    Et puis la construction de liens est juste

    www.yoursite.com/?email=the@email.address&auth_token=whatever_auth_token_is_stored_for_that_user

    sources:
    ce gist liés à partir de concevoir le wiki, & ce tutoriel (mentionné ci-dessus)

    InformationsquelleAutor mr.musicman