Authenticity_token в Rails + Android

Я разрабатываю приложение для Android, которое взаимодействует с сервером rails. Я не хочу игнорировать подлинность_token, но я тоже не думаю, что это правильный ответ. Что можно сделать для защиты моих запросов POST?

+5
источник поделиться
1 ответ

Необычно требовать токены аутентификации при использовании API, как и для приложения Android; это потому, что маркеры подлинности генерируются для защиты от атак подделки подпроса, которые возможны только с сеансом... и обычно, если вы 'доступ к API, который вы не используете (или не можете), использовать сеанс. Поэтому я не стал бы слишком беспокоиться о создании токенов подлинности здесь.

Для защиты ваших POST - или даже от любого запроса - есть несколько доступных вам вариантов. Проще всего было бы аутентифицировать каждый запрос HTTP basic, а более сложным, но, возможно, более безопасным было бы реализовать OAuth. В любом случае это обеспечит некоторую безопасность для людей, использующих ваше приложение, и подключение к вашему веб-сайту.

+5
источник

Посмотрите другие вопросы по меткам или Задайте вопрос