20

devise(最新バージョン - 3.2.0) とrails(最新バージョン - 4.0.1)を使用しています

私は単純な認証 (ajax または api なし) を行っており、CSRF 認証トークンのエラーが発生しています。以下の POST リクエストを確認してください

started POST "/users/sign_in" for 127.0.0.1 at 2013-11-08 19:48:49 +0530
Processing by Devise::SessionsController#create as HTML

 Parameters: {"utf8"=>"✓",    
 "authenticity_token"=>"SJnGhXXUXjncnPhCdg3muV2GYCA8CX2LVFV78pqddD4=", "user"=> 
{"email"=>"a@a.com", "password"=>"[FILTERED]", "remember_me"=>"0"},
"commit"=>"Sign in"}

Can't verify CSRF token authenticity
 User Load (0.4ms)  SELECT "users".* FROM "users" WHERE "users"."email" =  
'a@a.com' LIMIT 1
(0.1ms)  begin transaction
SQL (0.4ms)  UPDATE "users" SET "last_sign_in_at" = ?, "current_sign_in_at" = ?,
"sign_in_count" = ?, "updated_at" = ? WHERE "users"."id" = 2  [["last_sign_in_at", Fri,
08 Nov 2013 14:13:56 UTC +00:00], ["current_sign_in_at", Fri, 08 Nov 2013 14:18:49 UTC
+00:00], ["sign_in_count", 3], ["updated_at", Fri, 08 Nov 2013 14:18:49 UTC +00:00]]
(143.6ms)  commit transaction
Redirected to http://localhost:3000/
Completed 302 Found in 239ms (ActiveRecord: 144.5ms | Search: 0.0ms)

ルート URL は を指しhome#new、これは次のようになります。

class HomeController < ApplicationController
   before_action :authenticate_user!
   def index
   end
end

Sign_in ページで生成された HTML ビューは次のようになります。

  • メタタグ

    <meta content="authenticity_token" name="csrf-param" />
<meta content="aV+d7Z55XBJF2VtyL8V3zupR3OwhaQ6UHNtlQLBQf5Y=" name="csrf-token" />


  • <form accept-charset="UTF-8" action="/users/sign_in" class="new_user" id="new_user" 
method="post">
<div style="margin:0;padding:0;display:inline">
<input name="utf8" type="hidden" value="&#x2713;" />
<input name="authenticity_token" type="hidden
value="aV+d7Z55XBJF2VtyL8V3zupR3OwhaQ6UHNtlQLBQf5Y=" />
</div>
<div><label for="user_email">Email</label><br />
<input autofocus="autofocus" id="user_email" name="user[email]" type="email" value="" />
</div>

<div><label for="user_password">Password</label><br />
<input id="user_password" name="user[password]" type="password" /></div>

<div><input name="user[remember_me]" type="hidden" value="0" />
<input id="user_remember_me" name="user[remember_me]" type="checkbox" value="1" /> 
<label for="user_remember_me">Remember me</label></div>

<div><input name="commit" type="submit" value="Sign in" /></div>
</form>

認証リクエストはlast_sign_in_atとの値も更新しますが、コントローラーでsign_in_countアクセスしようとすると.current_usernil

私によると、実際にはサインインしていませんuser。しかし、「なぜテーブル内のlast_sign_in_at/sign_in_count値を更新しているのか?」という疑問が生じます。user

4

4 に答える 4

14

CSRF トークンが正しくない場合、Rails はセッションの読み取りや更新を行いません。コントローラーが指定する他のアクションは引き続き実行されます。これが、DB の更新が表示されてもログインに至らない理由を説明しています。

ログとページのauthenticity_tokenが一致していません。これは、別のリクエストをキャプチャしたことが原因である可能性があることは理解していますが、ページ上のものが同じリクエストのログ内のものと一致することを確認する必要があります。また、ビューで毎回異なるauthenticity_tokenを生成する適切なタグを使用しており、HTML入力をハードコーディングしているだけではないと仮定しています。

デバイスに関係のないフォームでも同じ問題が発生しますか? そうでない場合は、回避策として、コントローラーで次のコードを使用してアクションを CSRF チェックから除外できます。

protect_from_forgery except: :sign_in

サインインアクションに対するCSRF攻撃の可能性は、私にはかなり遠いようです(<-駄洒落)。

また、それがdeviseだけの場合は、すでに行っている問題を提出することをお勧めします。

于 2013-11-16T03:43:54.153 に答える
2

devise gem では問題ありませんでした。「rails-api」gem を削除すると、アプリが動作し始めました。

于 2013-12-06T04:06:59.943 に答える