摘要:
这篇在草稿箱里躺了好久rails ajax api 授权验证我起初想通过:def output if signed_in? respond_to do |format| format.js end endend来防止未经授权的用户访问ajax api,结果发现总是有问题,即使未登录也会请求成功。花了几个小时,才搞明白,原来是rails的默认机制搞的鬼,即使你显示的写了respond_to,他也有内置的default_render,会渲染对应的文件。于是把output.js.erb删除,改成 def output if signed_in?... 阅读全文