我正在开发一个与 Rails 服务器通信的 Android 应用程序。我不想忽略authenticity_token,但我也不认为询问它是正确的答案。如何保护我的 POST 请求?
当您使用 API 时,像 Android 应用程序那样需要真实性令牌,这种情况并不常见;这是因为生成真实性令牌是为了防止跨站请求伪造攻击 https://en.wikipedia.org/wiki/Cross-site_request_forgery,这只能通过会话来实现...并且通常如果您正在访问 API,则您不会(或不能)使用会话。所以我不会太担心在这里生成真实性令牌。
为了保护您的帖子(或者实际上任何请求),您可以使用多种选项。最简单的方法是验证每个请求HTTP基础 http://api.rubyonrails.org/classes/ActionController/HttpAuthentication/Basic.html,更复杂但可以说更安全的是实施OAuth https://github.com/pelle/oauth-plugin。无论哪种方式都会为使用您的应用程序并连接到您的网站的人们提供一定的安全性。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)