Continuando a discussão de Gerando um e-mail de login via API:
Mas era isso que eu queria fazer, mas então procurei no código-fonte por verify_authenticity_token e descobri que poderia usar
skip_before_action :check_xhr, :preload_json, :verify_authenticity_token
para que meu plugin pudesse aceitar um post!