Rails サーバーと通信する Android アプリケーションを開発しています。私はauthenticity_tokenを無視したくありませんが、それを求めることが正しい答えだとも思いません。POST リクエストを保護するにはどうすればよいですか?
質問する
883 次
1 に答える
5
Android アプリケーションの場合のように、API を使用するときに認証トークンを要求することは一般的ではありません。これは、セッションでのみ可能であるクロスサイト リクエスト フォージェリ攻撃から保護するために認証トークンが生成されるためです。通常、API にアクセスしている場合は、セッションを使用しない (または使用できない) ためです。したがって、ここで認証トークンを生成することについてはあまり心配しません。
POST を保護するために、または実際にはすべての要求を保護するために、いくつかのオプションを利用できます。各リクエストをHTTP basicで認証するのが最も簡単で、 OAuthを実装するのがより複雑ですが、間違いなくより安全です。どちらの方法でも、アプリを使用して Web サイトに接続する人々にある程度のセキュリティを提供できます。
于 2012-04-26T16:07:21.977 に答える