null_session oder Ausnahme für Schienen api App mit aktiver Admin

Question

Wenn ich eine Rails-Anwendung, die hauptsächlich für die Zwecke api haben, aber es wird wahrscheinlich so etwas wie Active admin in der Zukunft haben, welche Option sollte ich für protect_from_forgery

protect_from_forgery with: :exception 

oder

protect_from_forgery with: :null_session 

ps habe ich den kommentierten Text heraus zu bemerken # For APIs, you may want to use :null_session instead.

Answer 1

Eine Möglichkeit ist, dass Sie gemeinsam können Bestimmen Sie abschließend, welche Anfragen geschützt werden sollen und welche nicht. Zum Beispiel könnten Sie es für alle Anfragen zu Ihrem API überspringen, aber lassen Sie es für Admin Aktionen aktiviert, wenn Sie so gewünscht:

protect_from_forgery only: :admin_action? 

Wo admin_action? ist ein Hilfsprogramm, das weiß, ob die aktuelle Aktion im ActiveAdmin-Bereich ausgeführt wird. Sie können mehr in der Dokumentation hier lesen: http://api.rubyonrails.org/classes/ActionController/RequestForgeryProtection/ClassMethods.html