当前位置: 文江博客 话题详情

Rails API 会话安全和 CSRF

发布于 2025-01-20 17:33:10 字数 136 浏览 5 评论 0 原文

我正在用铁轨(仅API)进行API。安全对我来说是如此重要。我有2个问题。 1-)我将用户的ID保留在session [:authid]中,这样使用是否安全? 2-)我需要CSRF保护只有API的保护吗?我正在为客户端使用next.js。如果需要,我该如何?

原文

I am doing an api with Rails(api-only). Security is so importand for me. I got 2 question. 1-) I am keeping user's id in session[:authID], is it safe to use like this? 2-) Do i need CSRF protection for api-only? I'm using Next.js for client. If it is needed, how can i?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

2025-01-27 17:33:10

Q1。我将用户的ID保留在会话中[:authid],这样使用是否安全?

ans - 不好将用户ID保持在会话中,因为它可以揭示您的表结构(不是完全但仍然是仍然) 。而不是您可以使用设备token-auth 宝石(可以找到详细信息在这里在这里

Q2。我需要CSRF保护只有API的保护吗?

ans - 跨站点或跨节点请求伪造要求用户拥有浏览器和另一个值得信赖的网站。这与API 无关,因为它们 不在浏览器中运行 /strong> 会话。因此,您应该禁用API CSRF。您可以检查有关详细信息。

希望简介对您有帮助。

谢谢

Q1. I am keeping user's id in session[:authID], is it safe to use like this?

ANS - It's not good practice to keep user ids in session as it reveals your table structure (not fully but still) like where your user table's primary key starts from. Rather than that you can use device-token-auth gem (details can be found here and here)

Q2. Do i need CSRF protection for api-only?

ANS - Cross-Site or Cross-Session Request Forgery requires a user to have a browser and another trusted website. This is not relevant for APIs, since they don't run in the browser and don't maintain any session. Therefore, you should disable CSRF for APIs. You can check here for details.

Hope the brief helps you.

Thank you

回复 原文
~没有更多了~

关于作者

孤独患者

暂无简介

文章
评论
28 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

浪子阿飞

文章 0 评论 0

JK.Yang

文章 0 评论 0

人间不值得

文章 0 评论 0

静待花开

文章 0 评论 0

只涨不跌

文章 0 评论 0

污浊的双黑

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文