Как разрешить либо) HTTP Auth без CSRF TOKEN + SSL или B) Требуется токен CSRF с разработкой?
-
27-09-2019 - |
Вопрос
У меня есть приложение Rails 3, настроенное с помощью регистрации пользователей, используя разработку на сервере. Я позволяю людям войти на сервер через веб-сайт, а также позволяя людям создавать учетные записи и вход в систему, используя приложение для iPhone.
Когда люди используют приложение для iPhone, я бы хотел поддержать эти два действия:
а) Регистрация для учетной записи без CSRF (вызывает ли это проблемы безопасности)?
б) Войдите с HTTP Auth, закрепленным SSL
c) Любые сообщения запросы на сервер после входа в систему, чтобы быть обеспеченным HTTP Auth с SSL.
Когда пользователь на сайте, я хочу потребовать токенов CSRF на все действия (чтобы пользователь не вводил имя пользователя и пароль каждый раз).
Спасибо за помощь.
Решение
Вы можете выборочно отключить токен CSRF на контроллере или отдельных методах действий.
class StatsController < ApplicationController
skip_before_filter :verify_authenticity_token
...
end
Я на самом деле хочу делать что-то подобное, у меня будет iPhone использовать другое доменное имя и выборочно отключить фильтр: Verify_Authenticity_Token на основе нескольких условий. Это только для того, чтобы удержать нас, пока мы не сможем получить нашу реализацию OAUTT2 и запустить.