Я знаю, как включить/отключить проверку токена подлинности, но не знаю, когда это имеет смысл включать.
Например, в приложении rails я понял следующее. пожалуйста, дайте мне знать, если я ошибаюсь
Интернет:
- общедоступные страницы (незарегистрированные) должны включать проверку токена подлинности
- страницы аутентификации (вход, регистрация, утерянный пароль...) должны включать проверку токена подлинности
- частные страницы (вошедшие в систему) не должны включать проверку токена подлинности
API:
- общедоступный API (незарегистрированный, доступ JSON) должен включать проверку токена подлинности
- API аутентификации (вход, регистрация, утерянный пароль..., доступ JSON) должен включать проверку токена подлинности.
- частный API (вход в систему, доступ JSON) не нужно включать проверку токена подлинности