9.1 Basic Authentication
基本认证
如果你想要在线发布你的blog,任何人都能够增加,编辑和删除articles,或者删除comments。
Rails提供了一个简易的HTTP验证系统,在这种情况下能足以胜任。
在ArticlesController里,我们需要用一个方式来阻止访问任意的actions,如果访问者没有被认证的,这儿我们可以用Rails http_basic_authenticate_with 方法,如果在那个方法允许的情况下, 来允许访问所需求的action。
为了使用这个认证系统,我们明确规定它位于ArticlesController的顶部,在这个例子中,我们需要用户对于每一个action都要被认证,除了index和show,因此我们来编辑这个文件 app/controllers/articles_controller.rb:
classArticlesController < ApplicationController
http_basic_authenticate_with name: "dhh", password: "secret", except: [:index, :show]
defindex @articles= Article.all end
# snipped for brevity |
我们同样地只允许认证的用户来删除comments,因此在CommentsController中来编辑文件 app/controllers/comments_controller.rb:
classCommentsController < ApplicationController
http_basic_authenticate_with name: "dhh", password: "secret", only: :destroy
defcreate @article= Article.find(params[:article_id]) ... end
# snipped for brevity |
现在你想要创建一个新的article,你将会受到一个基本HTTP认证的挑战
对于Rails应用程序,其他的认证方法也是可用的。在Rails中有两个比较流行的认证插件是 Devise rails engine 和 Authlogic gem, 以及还有一些其他的。
original text: http://guides.rubyonrails.org/getting_started.html#security