具有门卫授权的 CSRF 保护 rails
CSRF Protection with doorkeeper authorization rails
我有一个问题,似乎无法从所有谷歌搜索中弄清楚。我正在构建一个 rails 应用程序,基本上是一个 api 应用程序。当我发出 post 请求它 returns 我有一个错误 'InvalidAuthenticityToken' 所以我使用
skip_before_action :verify_authenticity_token
经过一番谷歌搜索后,我了解到不建议跳过此步骤,因为我们的应用程序容易受到 CSRF 攻击。我还使用门卫 gem 进行身份验证。我的问题是,即使我有门卫 gem 进行身份验证,我的应用程序是否仍然容易受到攻击?
我也将这段代码放在我的应用程序控制器中并删除了上面的代码
protect_from_forgery with: :null_session
这安全吗?有人能说说如何正确实施吗?
最好在您的应用程序中提供 CSRF 攻击保护。在 api 中,您可以将此令牌添加到 header 并在前端和后端之间传递它。我使用 pragmatic studio 的这个指南在我的应用程序中进行设置:
https://pragmaticstudio.com/tutorials/rails-session-cookies-for-api-authentication
不过,不知道doorkeeper怎么用(没用过)
我有一个问题,似乎无法从所有谷歌搜索中弄清楚。我正在构建一个 rails 应用程序,基本上是一个 api 应用程序。当我发出 post 请求它 returns 我有一个错误 'InvalidAuthenticityToken' 所以我使用
skip_before_action :verify_authenticity_token
经过一番谷歌搜索后,我了解到不建议跳过此步骤,因为我们的应用程序容易受到 CSRF 攻击。我还使用门卫 gem 进行身份验证。我的问题是,即使我有门卫 gem 进行身份验证,我的应用程序是否仍然容易受到攻击?
我也将这段代码放在我的应用程序控制器中并删除了上面的代码
protect_from_forgery with: :null_session
这安全吗?有人能说说如何正确实施吗?
最好在您的应用程序中提供 CSRF 攻击保护。在 api 中,您可以将此令牌添加到 header 并在前端和后端之间传递它。我使用 pragmatic studio 的这个指南在我的应用程序中进行设置:
https://pragmaticstudio.com/tutorials/rails-session-cookies-for-api-authentication
不过,不知道doorkeeper怎么用(没用过)