如何使用Devise和activerecord-reputation-system获得Ajax投票的current_user

Question

我希望能够允许用户使用AJAX对资源进行投票，但是，我不太确定如何在资源的控制器中获取current_user的id。

我到处搜索，阅读了很多将user_id保存为隐藏字段的建议，然后使用它发送AJAX请求，但这不会给我带来安全漏洞吗？任何恶意用户都可以更改user_id，然后作为他选择的随机用户投票。

获取AJAX请求的current_user id的标准方法是什么？

谢谢

Answer 1

如果整个过程都是在身份验证之后进行的，那么就不需要在视图中存储user_id，也不需要花费任何精力来传递它。只需像往常一样访问控制器中的current_user (或current_user.id)。

所谓“整个过程都在身份验证之后”，我指的是具有投票接口的视图的控制器，以及AJAX请求目的地的控制器都应该具有before_filter :authenticate_user!，或者从具有该接口的类派生。如果是这种情况，devise将识别用户，识别方式与对所有其他经过身份验证的请求的识别方式相同。请求是JSON并不重要，除非你可能需要调整你的未经授权的行为，以包括到你的登录的javascript重定向，如果你还没有这样的东西的话。