Estoy desarrollando una aplicación de Android que se comunica con un servidor de rieles. No quiero ignorar la autenticidad_token, pero tampoco creo que pedirla sea la respuesta correcta. ¿Qué se puede hacer para proteger mis solicitudes POST?Authenticity_token en Rails + Android
Respuesta
No es común requerir tokens de autenticidad cuando usa una API, como lo haría con una aplicación de Android; esto se debe a que los tokens de autenticidad se generan para proteger contra cross-site request forgery attacks, que solo son posibles con una sesión ... y, por lo general, si está accediendo a una API, no puede (o no puede) utilizar una sesión. Así que no estaría demasiado preocupado por generar tokens de autenticidad aquí.
Para proteger sus POST, o cualquier solicitud, hay varias opciones disponibles para usted. Lo más simple sería autenticar cada solicitud con HTTP basic, y más complicado pero posiblemente más seguro sería implementar OAuth. De cualquier manera, proporcionará algo de seguridad a las personas que usan su aplicación y se conectan a su sitio web.
- 1. Ruby on Rails forma el almacenamiento en caché de la página que incluye authenticity_token
- 2. Rails 3 protect_from_forgery no funciona correctamente?
- 3. Parámetro adicional en form_for in Rails
- 4. Autenticación HTTP básica en teléfonos Android a Rails Server
- 5. Rails 3: Formulario enviado dos veces
- 6. ¿PHP tiene un token de autenticidad como Rails?
- 7. Adición icono Bootstrap para botón en Ruby on Rails
- 8. ¿Cómo funciona la protección Rails CSRF?
- 9. Rails button_to: cómo especificar el controlador?
- 10. Autenticación Kerberos en Rails
- 11. Cuadro desplegable en Rails
- 12. Contando en View Rails
- 13. cláusula ambigua en Rails
- 14. Rails 3 en dreamhost?
- 15. Variable global en Rails
- 16. Rails root_path en application.js
- 17. Omitir before_filter en Rails
- 18. Escapar HTML en Rails
- 19. cattr_accessor en Rails?
- 20. Timezones en Rails
- 21. valores constantes en Rails
- 22. Buscar en Rails
- 23. Agrupar Seleccionar en Rails
- 24. Rutas recursivas en Rails
- 25. Cifrado-descifrado en Rails
- 26. resultado JSON en Rails
- 27. has_and_belongs_to_many en Rails
- 28. Atributos traducidos en mensajes de error Rails (Rails 2.3.2, I18N)
- 29. Rails 3 Ayudantes Forma: UTF-8 y otros campos ocultos
- 30. Rails 3 inicializadores que se ejecutan solo en `rails server` y no` rails generate`, etc.
Gracias por su rápida respuesta. Acabas de confirmar mis predicciones. Es un proyecto escolar, por lo que la seguridad no es el problema principal. Estoy usando Devise así que intentaré trabajar con eso para encriptar mis comunicaciones. Solo quería asegurarme de no perderme nada. Gracias una vez más. – jmpenetra
¡Ningún problema! Si mi respuesta ayudó, márcalo como el correcto; entonces las personas serán más propensas a ayudarlo en Stackoverflow en el futuro. – Veraticus
He buscado sobre la implementación de API en estos días, por supuesto, es un buen tema para otra pregunta ... supongamos que requiero autenticación básica HTTP para una llamada API y la aplicación está utilizando incluso HTTPS, siempre existe el problema de que la contraseña es algo claro en el dispositivo, ¿verdad? –