Rails API 身份验证 - 健全性检查和建议

Question

我想创建一个 Rails 应用程序，它公开一个仅由授权客户端应用程序（将是 iOS / android 的移动应用程序）使用的 API。我还没有开始开发该应用程序，但访问底层数据的主要方法是通过 API。我一直在考虑使用 grape gem，但需要为其添加身份验证层。我正在考虑使用 devise 并添加另一个模型来存储客户端详细信息、api 密钥和密钥。通过 api 登录后，将返回 api 密钥和密钥。 API 密钥会随每个请求一起传输，但秘密密钥不会。相反，它用于签署每个请求；请求参数按名称排序，使用密钥作为哈希密钥进行哈希处理。然后将该签名作为参数添加到请求中。

这个身份验证系统听起来合乎逻辑且安全吗？

我之前曾尝试对系统进行原型设计，但在使用 JSON 和 devise 注册用户时遇到了困难。起初我收到了 CSRF 错误。然后我关闭了 protected_from_forgery 并收到另一个错误。如果我以这种方式进行身份验证，关闭此功能是否安全？

Answer 1

是的，您可以关闭 Rails CSRF 保护，因为您使用的是不同的真实性方法，只要日期或时间戳始终位于正在签名的参数内即可。您可以使用它来比较请求时间与服务器时间，并确保您没有遭受重放攻击。

Answer 2

protect_from_forgery 帮助您保护 HTML 表单。如果您从移动客户端使用 JSON，则不需要它。

如果我是您，我会执行以下操作：

• 在用户的帐户页面上，有一个显示“（重新）生成 API 密钥”的按钮

• 客户端然后将此密钥嵌入到其调用代码中并随每个请求传递。

• 您的 API 服务器检查此 API 密钥是否可以与此客户端 ID 一起使用。

非常容易实施并且服务良好。

签名参数也有效，我在几个项目中成功使用了它。但它增加了代码复杂性，却没有任何实际收益（密钥在客户端，攻击者已经知道）。