通过电子邮件对设计用户进行身份验证

Question

我正在使用rails 3并设计。我想在下面的工作流程中进行构建。

1. 文章是在需要管理员批准的站点上提交的。
2. 站点向网站管理员发送一封电子邮件，链接到管理员可以查看、编辑和批准文章

的页面。

但是，我已经实现了这一点，但是，如果管理程序目前还没有登录到站点，则由于没有经过身份验证，管理员将被弹回根路径。

电子邮件中发送的链接是否可以作为特定管理员的身份验证？

Answer 1

您想要查看devise的令牌身份验证。这允许您使用一个一次性密钥通过URL参数授权用户访问。

这里有更多的信息。http://zyphmartin.com/blog/simple-auth-token-example-with-devise

此外，您可以简单地为每个资源创建一个身份验证令牌，并将身份验证值存储在数据库中。当您转到资源的批准URL时，传入资源id和身份验证令牌。这将比以管理员身份登录用户更安全。

如果你需要更多的帮助，请告诉我。

Answer 2

您可以将其实现为自定义控制器操作。

您可以通过在:except => :custom_action调用中添加:before_filter密钥来关闭控制器中给定操作的设计身份验证。

您可以在article_id和admin_id的链接中包含一个查询字符串。然后，在自定义控制器操作中，您将检查这篇文章是否已经被审核过了，通过文章表中的一个额外字段。如果有，你可以保释。如果没有，那么您可以允许版主批准或反对它，设置版本号为true，并感谢版主的工作。

如果您想变得非常棘手，您可以让URL包含一个MD5散列id，您可以使用它作为密钥而不是文章id。您可以将其存储在文章模型中的一个额外字段中。这将使它不太可能在短暂的窗口被欺骗，当它是适度的。

伊恩。

Answer 3

您可以向控制器添加一个操作(这是您的URL将指向的位置)，然后将其添加到控制器中，从而将其排除在身份验证之外：

before_filter :authenticate_user!, :except => [:review_article]

您可以在URL中包含某种类型的键(如Ian建议的文章的MD5 )，并在review_article中进行检查。