問題タブ [restful-authentication]

Rails アプリ用の非常に単純なメール システムを作成しています。RESTful 認証を使用しています。ユーザーがサインアップしたときとユーザーがパスワードを忘れたときに同じメールを送信する、かなり従来の設定です。頭を包み込むことができないように見える問題が1つだけあります。

「新しいユーザー」のメールはユーザー コントローラーから送信され、「パスワードを忘れた」メールはパスワード コントローラーから送信されますが、両方のインスタンスで同じメール テンプレートを使用したいと考えています。

メールは次のようになります。

ユーザーがサインアップすると、これは問題なく機能し、次のような電子メールが送信されます。

残念ながら、このテンプレートを使用してパスワード コントローラーから「パスワードを忘れた」というメールを送信しようとすると、すべてが機能しなくなります。しかし、私を困惑させているのは、それがちょっと壊れているだけだということです:

つまり、@user.name は引き続き有効であり、@user.login も同様です。しかしなぜかこの状態では @user.password が通らない。

回答ありがとうございます。明確にするために言うと、この場合、セキュリティは実際には問題ではありません。そのため、パスワードをリセットするプロセスを実行するよりも、忘れたパスワードをプレーンテキストで送信できる方がよいでしょう。通常はそうではありません。

technoweenieからプラグインrestful_authenticationをインストールして実装しました。

私のアプリケーションは、たとえばレビューを書く場合を除いて、ほとんどの場合、オープンにすることを目的としています。

したがって、reviews_controller.rbがありますが、ユーザーがログインしているかどうかを確認したいのは、特定のアクションadd_reviewを送信するときだけです。

フォームはvendors/showに表示されるため、add_reviewはvendor_controller.rbに対するアクションです。次に、ベンダー/ショーにリダイレクトして更新を表示します（これをajaxに変更することを考えています）。

その人がログインしていない場合は、ログイン/サインアップページにリダイレクトしてほしい。

restful_authenticationの手順は、コントローラーレベルでinclude AuthenticatedSystemを適用することを示していますが、そのコントローラーの他のアクションで認証したくありません。

どうすればよいですか？

Restful 認証をインストールしました。

誰かがログインに成功すると、ブログのコメントと同じようにレビューを書きます。

認証ユーザーの user_id 列の値を知るにはどうすればよいですか?それをレビュー テーブルに入れ、ユーザーとレビューを一致させることができますか?

ありがとう。

私の Rails アプリケーションには、ユーザー モデル (多かれ少なかれ RESTful 認証によって構築されたもの) と、ユーザーに属する他のいくつかのモデルがあります。たとえば、次のように言いましょう。

ユーザー has_many :posts

投稿の所属先:ユーザー

ユーザー リソースのどこからでも、期待どおりにユーザー変数にアクセスできます。@user.name、@user.email、@user.login などはすべて、期待されるオブジェクトを返します。

ただし、nil (NoMethodError ではなく nil) を返さない限り、他のリソース (この例では投稿) からこれらの属性のいずれにもアクセスできないようです。

どうしてこれなの？、のように問題なく呼び出すことができますが、問題のユーザーに対しては呼び出せcurrent_userないことは、私にはさらに奇妙に思えます。current_user.namecurrent_user.email

クライアントが特定の UI を呼び出すたびに、(Cookie を介して) HttpSession を作成する必要があります。

仮定:

• 深い oAuth のような認証ダンスについて心配するつもりはないと仮定しましょう。JESSIONSID Cookie の偽装は、今のところ問題ではありません。
• サーバーは tomcat であるため、新しいセッションが作成されると、JSESSIONID Cookie がクライアントに送信されます。

設計上の問題:

1. URIの設計方法に取り組んでいます。実際の REST リソースとは何ですか? 私はすでに/usersと/users/{someuserid}を持っています。/auth/loginを使用したかったのですが、以前の SO の質問の 1 つで、引用された記事の 1 つに、URL に動詞を含めるべきではないと書かれています。https://www.google.com/accounts/OAuthGetRequestTokenを使用することで、Google でさえ同じ間違いを犯していることに気付きました。あなたの意見では、/auth/login/johndoe (ログイン) と/auth/logout/johndoe (ログアウト) は良いオプションですか?

アップデート：

デザインを変更しました。現在、URI /session/johndoe (ログインにはPUT、ログアウトにはDELETE ) を使用することを考えています。それはまだRESTの精神の範囲内にあるはずですか？

アクティブ化して technoweenie から restful_authentcation をインストールしたので、生成された UserMailer < ActionMailer::Base.

ただし、手順には、Google SMTP で動作するように設定する方法は含まれていません。

私は、environments/development.rb に SMTP 設定が必要であると推測していますが、Google (Google アプリ経由) がすべて TLS であることを考えると、まだわかりません。

restful_authentication を使用してアクティベーションをセットアップした人はいますか?

私は現在、environments.rbに次のものを入れています:

ありがとう！！

I'm trying to use the ssl requirement plugin with the restful authentication plugin and I have a question that I'm having trouble finding the answer to.

When allowing a user to login from a non-SSL action/page, should I require SSL on the session's create action for increased security, or is that overkill?

If so, how do I get the create action to work going from non-SSL to SSL? It throws a ActionController::MethodNotAllowed exception stating "Only post and delete requests are allowed".

Thanks.

今日、Rails アプリの機能テストを書き始めました。RESTful 認証プラグインを使用しています。私はいくつかの紛らわしいことに遭遇しました.誰かが私のために明確にしてくれることを願っています.

1) Rails アプリのほとんどの機能で認証が必要なため、クイック ログイン機能を作成しました。

この関数で見られる問題は、基本的に認証を偽造することです。これについて心配する必要がありますか？本当の認証方法をどこかでテストする限り、このルートに進んでも大丈夫かもしれません。あるいは、これはひどい習慣かもしれません。

2) 2 つ目の紛らわしい点は、機能テストのいくつかの場所で、完全な認証プロセスを実行する必要があることです。ユーザーがアクティブ化されると、do_activate メソッドでユーザーの初期オブジェクトをいくつか作成します。それが理にかなっている場合、これは学生アプリケーション用の空白のノートブック オブジェクトとペン オブジェクトの作成に類似しています。

したがって、アプリケーションを適切にテストするには、ユーザーがそのアクティブ化状態に到達して、それらのオブジェクトが作成されるようにする必要があります。現在、Factory Girl を使用してユーザーを作成し、上記の login_as 関数を呼び出して認証を偽装しています。

もう 1 つのオプションは、完全な認証シーケンスをスキップして、Factory Girl で空白のオブジェクトを作成することだと思います。適切な認証を別の場所でテストできます。

どう思いますか？適切な手順を実行する必要がある場合、以下のコードで do_activate 関数が呼び出されないのはなぜですか?

ありがとうございました！

私はレール初心者です。認証システムでアセットがどのように機能するかを概念化するのに問題があります。

これまで見てきたすべてのチュートリアルでは、swfs をパブリック フォルダーに配置し、それらをビューに埋め込む方法について説明しています。ただし、私が使用している swf は flex gui であり、restful 認証を通じてログインしたユーザーのみが使用する必要があります。GUI を public フォルダーに入れると、認証システムを持つという目的全体が無効になると思います。

では、この種の静的コンテンツへのアクセスを制限するために、誰もが何をしているのでしょうか?

I have a RoR application that's using the RESTful Authentication plug-in. Everything works great. I recently enabled cookie based authentication and that works fine too. The problem is that I want to change the default landing page when the user is authenticated using a cookie. I want to have a cookie authenticated user redirected to the same page they are redirected to upon successful login from the login form. They are always directed to the original request URL. I'm racking my brain on this as I thought I understood how it works and every change I make seems to have no impact.

I suspect this is something simple but I'm obviously missing it. I'd appreciate any feedback, guidance or suggestions you might offer.