Продолжение обсуждения из Генерация email для входа через API:
Но именно это я и хотел сделать. Затем я поискал в исходном коде verify_authenticity_token и понял, что могу использовать
skip_before_action :check_xhr, :preload_json, :verify_authenticity_token
чтобы мой плагин мог принимать POST-запросы!