class="p1">9.1 Basic Authentication
基本认证
如果你想要在线发布你的blog,任何人都能够增加,编辑和删除articles,或者删除comments。
?
Rails提供了一个简易的HTTP验证系统,在这种情况下能足以胜任。
?
在ArticlesController里,我们需要用一个方式来阻止访问任意的actions,如果访问者没有被认证的,这儿我们可以用Rails?http_basic_authenticate_with 方法,如果在那个方法允许的情况下, 来允许访问所需求的action。
?
为了使用这个认证系统,我们明确规定它位于ArticlesController的顶部,在这个例子中,我们需要用户对于每一个action都要被认证,除了index和show,因此我们来编辑这个文件 app/controllers/articles_controller.rb:
classArticlesController < ApplicationController
?
??http_basic_authenticate_with name: "dhh", password: "secret", except: [:index, :show]
?
??defindex
????@articles= Article.all
??end
?
??# snipped for brevity
我们同样地只允许认证的用户来删除comments,因此在CommentsController中来编辑文件?app/controllers/comments_controller.rb:
classCommentsController < ApplicationController
?
??http_basic_authenticate_with name: "dhh", password: "secret", only: :destroy
?
??defcreate
????@article= Article.find(params[:article_id])
????...
??end
?
??# snipped for brevity
现在你想要创建一个新的article,你将会受到一个基本HTTP认证的挑战
?
对于Rails应用程序,其他的认证方法也是可用的。在Rails中有两个比较流行的认证插件是 ?Devise?rails engine 和?Authlogic?gem, 以及还有一些其他的。
?
?
original text:?http://guides.rubyonrails.org/getting_started.html#security
相关文章
