Как разрешить либо) HTTP Auth без CSRF TOKEN + SSL или B) Требуется токен CSRF с разработкой?

Question

У меня есть приложение Rails 3, настроенное с помощью регистрации пользователей, используя разработку на сервере. Я позволяю людям войти на сервер через веб-сайт, а также позволяя людям создавать учетные записи и вход в систему, используя приложение для iPhone.

Когда люди используют приложение для iPhone, я бы хотел поддержать эти два действия:

а) Регистрация для учетной записи без CSRF (вызывает ли это проблемы безопасности)?

б) Войдите с HTTP Auth, закрепленным SSL

c) Любые сообщения запросы на сервер после входа в систему, чтобы быть обеспеченным HTTP Auth с SSL.

Когда пользователь на сайте, я хочу потребовать токенов CSRF на все действия (чтобы пользователь не вводил имя пользователя и пароль каждый раз).

Спасибо за помощь.

Answer 1

Вы можете выборочно отключить токен CSRF на контроллере или отдельных методах действий.

class StatsController < ApplicationController
  skip_before_filter :verify_authenticity_token
  ...
end

Я на самом деле хочу делать что-то подобное, у меня будет iPhone использовать другое доменное имя и выборочно отключить фильтр: Verify_Authenticity_Token на основе нескольких условий. Это только для того, чтобы удержать нас, пока мы не сможем получить нашу реализацию OAUTT2 и запустить.