CSRFトークン + SSLなしでa)HTTP AUTHを許可する方法
-
27-09-2019 - |
質問
サーバーで実行されているDeviseを使用して、ユーザー登録で構成されたRails 3アプリがあります。私は、人々がウェブサイトを介してサーバーにログインできるようにし、また人々がiPhoneアプリを使用してアカウントを作成してログインできるようにしています。
人々がiPhoneアプリを使用しているとき、私はこれらの2つのアクションをサポートしたいと思います:
a)CSRFのないアカウントのサインアップ(これにより、セキュリティの問題が発生します)?
b)SSLによって保護されたHTTP認証でログイン
c)SSLを使用してHTTP Authで固定するためにログインした後、サーバーに投稿要求します。
ユーザーがWebサイトにいるとき、すべてのアクションでCSRFトークンを要求したい(ユーザーが毎回ユーザー名とパスワードを入力しないようにします)。
ご協力ありがとうございました。
解決
コントローラーまたは個別のアクションメソッドでCSRFトークンを選択的に無効にすることができます。
class StatsController < ApplicationController
skip_before_filter :verify_authenticity_token
...
end
私は実際に似たようなことをしたいと思っています。iPhoneに別のドメイン名を使用してもらい、いくつかの条件に基づいて次のようにverify_authenticity_tokenフィルターを選択的に無効にします。これは、OAUTH2の実装を稼働させることができるまで、私たちを抱きしめることです。
所属していません StackOverflow