Estoy desarrollando una aplicación de Android que se comunica con un servidor de rieles. No quiero ignorar la autenticidad_token, pero tampoco creo que pedirla sea la respuesta correcta. ¿Qué se puede hacer para proteger mis solicitudes POST?Authenticity_token en Rails + Android
No es común requerir tokens de autenticidad cuando usa una API, como lo haría con una aplicación de Android; esto se debe a que los tokens de autenticidad se generan para proteger contra cross-site request forgery attacks, que solo son posibles con una sesión ... y, por lo general, si está accediendo a una API, no puede (o no puede) utilizar una sesión. Así que no estaría demasiado preocupado por generar tokens de autenticidad aquí.
Para proteger sus POST, o cualquier solicitud, hay varias opciones disponibles para usted. Lo más simple sería autenticar cada solicitud con HTTP basic, y más complicado pero posiblemente más seguro sería implementar OAuth. De cualquier manera, proporcionará algo de seguridad a las personas que usan su aplicación y se conectan a su sitio web.
Gracias por su rápida respuesta. Acabas de confirmar mis predicciones. Es un proyecto escolar, por lo que la seguridad no es el problema principal. Estoy usando Devise así que intentaré trabajar con eso para encriptar mis comunicaciones. Solo quería asegurarme de no perderme nada. Gracias una vez más. – jmpenetra
¡Ningún problema! Si mi respuesta ayudó, márcalo como el correcto; entonces las personas serán más propensas a ayudarlo en Stackoverflow en el futuro. – Veraticus
He buscado sobre la implementación de API en estos días, por supuesto, es un buen tema para otra pregunta ... supongamos que requiero autenticación básica HTTP para una llamada API y la aplicación está utilizando incluso HTTPS, siempre existe el problema de que la contraseña es algo claro en el dispositivo, ¿verdad? –