私は、レールサーバーと通信するAndroidアプリケーションを開発しています。私はauthenticity_tokenを無視したくないが、私はそれが正解であると尋ねるとは思わない。私のPOSTリクエストを保護するために何ができるのですか?Rails + AndroidでAuthenticity_token
5
A
答えて
5
Androidアプリケーションの場合のように、APIを使用する際に真正性のトークンを要求するのは珍しいことです。これは、セッションでのみ可能なcross-site request forgery attacksから保護するために真正性のトークンが生成されるためです。通常、APIにアクセスする場合、セッションを使用しない(または使用できない)ことがあります。だから私はここで真正性のトークンを生成することにあまり心配しないだろう。
あなたのPOSTや実際にリクエストを保護するために、いくつかのオプションがあります。最も単純なのは、各リクエストをHTTP basicで認証することですが、より複雑ですが間違いなく安全性が高いのはOAuthです。どちらの方法でも、あなたのアプリを使用してあなたのウェブサイトに接続する人々のためのセキュリティが提供されます。
関連する問題
- 1. authenticity_tokenフォームから生成された不要なdivを削除します
- 2. mulitpart upload with android + rails
- 3. RESTful RAILSとAndroid HttpRequests
- 4. Android for Railsサーバーセッションの管理
- 5. RailsのルートとAndroid携帯HTTPGETとHttpPOST
- 6. Androidログインrails app json params問題
- 7. Ruby on RailsのAndroid OS用API
- 8. AndroidアプリのRailsユーザーの認証
- 9. Railsの - コントローラ
- 10. Railsのファイルアップロードエラー
- 11. Rails 3 acts_as_commentable_with_threading gem
- 12. Rails RailsでのDCIコンテキスト
- 13. Rails 3 - Rails 3アプリでS3
- 14. POST in rails 3
- 15. Datamapper&Rails(dm-rails)での取引
- 16. Railsは別のテーブルへのRailsで
- 17. はRailsの3.0.11アプリでRailsの
- 18. フォームパラメータがそうRailsの
- 19. Railsのはlink_to_remote劣化や
- 20. Android用のRailsのようなデータベーススキーマバージョンのアップグレード
- 21. AndroidからRailsへのユーザーの認証方法の理解
- 22. Android Ruby on Railsタイムスタンプを日付に変換する
- 23. Ruby on RailsアプリをネイティブAndroid Phoneに変換するGappアプリ
- 24. rails 3 form_tagリモートで送信されない送信の詳細
- 25. Railsでのルートチェイン?
- 26. Railsでのルーティング
- 27. Railsの強いのparamsは、オートコンプリート
- 28. RailsのAJAXロードページ全体のdiv
- 29. RedisのRuby on Rails、I18nキー値バックエンド
- 30. Railsのサーバープッシュソリューション
お返事ありがとうございました。あなたは私の予測を確認しました。それは学校のプロジェクトなので、セキュリティは主要な問題ではありません。私はDeviseを使用していますので、私はコミュニケーションを暗号化するためにそれを使用しようとします。ちょうど私が何かを逃していないことを確認したかった。もう一度ありがとう。 – jmpenetra
問題ありません!私の答えが助けられたら、それを正しいものとしてマークしてください。将来的にStackoverflowで人々があなたを助ける可能性が高くなります。 – Veraticus
私はAPIの実装を検索しましたが、もちろん別の質問のための良いトピックです... API呼び出しにHTTP基本認証が必要で、アプリケーションがHTTPSでも使用しているとします。デバイスではっきりとしていますが、それは正しいのでしょうか? –