我正在开发一款与Rails服务器通信的Android应用程序。我不想忽略authenticity_token,但我也认为要求它并不是正确的答案。有什么方法可以保护我的POST请求?
1个回答
5
在使用API时,通常不需要身份验证令牌,就像您为Android应用程序所做的那样;这是因为身份验证令牌是生成的,用于保护跨站请求伪造攻击,只有在会话中才可能发生...并且通常如果您正在访问API,则不使用(或无法使用)会话。因此,在此处生成身份验证令牌时,我不会太担心。
为了保护您的POST或任何请求,您有许多选项可供选择。最简单的方法是使用HTTP基本身份验证对每个请求进行身份验证,更复杂但可能更安全的方法是实施OAuth。无论哪种方式都将为使用您的应用程序并连接到您的网站的人提供一些安全性。
为了保护您的POST或任何请求,您有许多选项可供选择。最简单的方法是使用HTTP基本身份验证对每个请求进行身份验证,更复杂但可能更安全的方法是实施OAuth。无论哪种方式都将为使用您的应用程序并连接到您的网站的人提供一些安全性。
- Veraticus
3
谢谢你的迅速回应。你刚刚证实了我的预测。这是一个学校项目,所以安全性不是主要问题。我正在使用Devise,所以我会尝试用它来加密我的通信。只是想确保自己没有漏掉什么。再次感谢。 - jmpenetra
1没问题!如果我的回答有帮助,请将其标记为正确的答案;这样,人们在 Stackoverflow 上将更有可能帮助您解决问题。 - Veraticus
这几天我对API的实现进行了一番搜索,当然这也是一个可以另外提问的好话题...假设我需要在API调用中使用HTTP基本认证,而应用程序甚至正在使用HTTPS,在设备上密码总是以明文形式存在,这是正确的吗? - Aldo 'xoen' Giambelluca
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 7 Ruby on Rails:发现未授权的参数:_method,authenticity_token
- 3 Rails 3.1的authenticity_token和uploadify
- 20 如何在 rspec rails 请求测试中进行缺失 authenticity_token 的 POST 请求?
- 21 Rails 4. 如何在通过partial渲染的表单中添加authenticity_token?
- 16 Rails表单中的authenticity_token和csrf token有何区别?
- 3 Rails的form_authenticity_token与params[:authenticity_token]不匹配
- 3 在Rails中如何从authenticity_token中删除div?
- 3 从Rails获取authenticity_token
- 18 Ruby on Rails表单页面缓存,包括authenticity_token
- 3 未授权的参数::utf8、:authenticity_token - Rails 5.2 form_with