如何允许 a) 没有 CSRF 令牌的 HTTP 身份验证 + SSL 或 b) 需要 CSRF 令牌与设备?
我有一个 Rails 3 应用程序,使用在服务器上运行的设备配置了用户注册。我允许人们通过网站登录服务器,还允许人们创建帐户并使用 Iphone 应用程序登录。
当人们使用Iphone应用程序时,我想支持这两个操作:
a)在没有CSRF的情况下注册帐户(这会导致任何安全问题)吗?
b) 使用受 SSL 保护的 http 身份验证登录
c) 登录后发送到服务器的任何 POST 请求均受 SSL 的 http 身份验证保护。
当用户访问网站时,我希望所有操作都需要 CSRF 令牌(这样用户就不会每次都输入用户名和密码)。
感谢您的帮助。
I have a Rails 3 app configured with user registration using devise running on a server. I am allowing people to login to the server through the website and also allowing people to create accounts and login using an Iphone App.
When people are using the Iphone app, I'd like to support these two actions:
a) Signup for account without CSRF (does this cause any security issues)?
b) Log in with http auth secured by SSL
c) Any POST requests to the server after logging in to be secured with http auth with SSL.
When the user is on the website, I want to require CSRF tokens on all actions (so that the user does not type username and password each time).
Thank you for your help.
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
您可以有选择地禁用控制器或单个操作方法上的 CSRF 令牌。
我实际上想做类似的事情,我会让 iPhone 使用不同的域名,并根据几个条件有选择地禁用 :verify_authenticity_token 过滤器。这只是为了让我们等待,直到我们能够启动并运行 OAUTH2 实现。
You can selectively disable the CSRF token on a controller or individual action methods.
I'm actually looking to do something similar, I'll have the iPhone use a different domain name and selectively disable the :verify_authenticity_token filter based on a couple of conditions. This is only to hold us over until we can get our OAUTH2 implementation up and running.