問題タブ [rackattack]

gem rack-attackアプリのセットアップが完了しました。IP に基づく基本認証認証のスロットリングを開始したいと考えています。

私の基本的な認証コードの設定は次のようになります:

私のラック攻撃には次のようなものが含まれると思います：

I'm trying to create an array of IP addresses so that when the application is ran Rack-Attack can identify from the set of IP addresses that are allowed to access the application. So what I have done is as followed:

The above works, so localhost can access the application but I have tried the following below which seems to not work what so ever:

Can someone explain what the correct way would be to do this. You can see that I create an array. I want Rack::Attack to detect whether the IP address in the array has access or not.

https://github.com/kickstarter/rack-attackを使用して、悪用者やブルート フォース攻撃者を抑制することに興味があります。私のアプリは複数の dyno で実行されます。したがって、Rails のデフォルトの FileStore は、各 dyno にファイルシステムがあり、スロットリングは両方の集約である必要があるため、十分に効果的ではないと思います。

に memcached プラグイン サービスを使用するRails.cache場合、memcached サービスがダウンした場合 (つまり、FileStore など) に "フォールバック" が Rails に組み込まれていますか?

そうでない場合、memcached サービスが停止すると、Rails アプリがクラッシュするか、ユーザーがアクセスできなくなりますか (エラーを適切に処理する場合と比較して)。

https://github.com/kickstarter/rack-attack/#throttlesを使用して、特定の URL へのリクエストを抑制しています。

ラック攻撃のドキュメントでは、リクエスト IP またはリクエスト パラメータによってスロットルする方法が示されていますが、私がやりたいのは、ユーザーごとにリクエストをスロットルすることです。そのため、IP に関係なく、ユーザーは特定の時間枠内で n 個を超えるリクエストを行うことはできません。

私たちは認証にデバイスを使用していますが、リクエストに基づいてユーザーを一意に識別する簡単な方法は考えられません。

ユーザー ID をセッション/Cookie に保存する必要がありますか? 多分一意のハッシュ？それを行うための最善の方法についてどう思いますか?

高度な構成手順に従って、ラック攻撃構成をセットアップしました。Heroku を使用しており、env 変数にすべての URL が含まれており、すべてが適切にフォーマットされていることを確認しました。

Heroku のコンソールに移動して、次のコマンドを実行しました。

次に、次のようにテストします。

私が得る：

しかし、グーグルでの私の分析では、紹介は私のリストのすべてのURLで満たされています. 私は何が欠けていますか？

私の設定には、このかなり標準的なブロックが含まれています：

HEROKU_VARIABLE =>