rails4 9 Security

9.1 Basic Authentication

基本认证

如果你想要在线发布你的blog，任何人都能够增加，编辑和删除articles，或者删除comments。

 

Rails提供了一个简易的HTTP验证系统，在这种情况下能足以胜任。

 

在ArticlesController里，我们需要用一个方式来阻止访问任意的actions，如果访问者没有被认证的，这儿我们可以用Rails http_basic_authenticate_with 方法，如果在那个方法允许的情况下, 来允许访问所需求的action。

 

为了使用这个认证系统，我们明确规定它位于ArticlesController的顶部，在这个例子中，我们需要用户对于每一个action都要被认证，除了index和show，因此我们来编辑这个文件 app/controllers/articles_controller.rb：

classArticlesController < ApplicationController     http_basic_authenticate_with name: "dhh", password: "secret", except: [:index, :show]     defindex     @articles= Article.all   end     # snipped for brevity

我们同样地只允许认证的用户来删除comments，因此在CommentsController中来编辑文件 app/controllers/comments_controller.rb：

classCommentsController < ApplicationController     http_basic_authenticate_with name: "dhh", password: "secret", only: :destroy     defcreate     @article= Article.find(params[:article_id])     ...   end     # snipped for brevity

现在你想要创建一个新的article，你将会受到一个基本HTTP认证的挑战

 

对于Rails应用程序，其他的认证方法也是可用的。在Rails中有两个比较流行的认证插件是  Devise rails engine 和 Authlogic gem， 以及还有一些其他的。

 

 

original text: http://guides.rubyonrails.org/getting_started.html#security