問題タブ [restful-authentication]

Rails の restful_authentication プラグインを使用して、ユーザーが自分のアカウント情報を変更できるようにしたいと考えています。

この 2 つのメソッドをユーザー コントローラーに追加しました。

また、new.html.erbをedit.html.erbにコピーしました。リソースが routes.rb で既に定義されていることを考えると、簡単に動作することを期待していましたが、保存ボタンをクリックすると、 POST HTTP requestを使用して、updateではなくcreateメソッドが呼び出されます。その直後、セッションから自動的にログアウトします。

何か案は？

Ruby-on-Rails で API システムを設計しており、クエリをログに記録してユーザーを認証できるようにしたいと考えています。

ただし、私は従来のログイン システムを持っていません。ユーザーが要求の HTTP ヘッダーで送信できる APIkey と署名を使用したいと考えています。(Amazonのサービスの仕組みに似ています)

リクエストする代わりに、ヘッダーをリクエストして送信し、署名でリクエストを検証/users/12345/photos/createできるようにしたいと考えています。/photos/createX-APIKey: 12345

それを行うために適応できるgemはありますか? またはさらに良いことに、適応なしでこれを行う宝石はありますか?

それとも、POST/GET 変数を使用して各リクエストで API キーを送信するだけの方が賢明だと思いますか?

次のアプリケーションを含む 1 つのテスト Web サーバー

service.ganymedes.com:8008 - WCF RESTful サービス、基本的には WCF スターター キット プレビュー 2 の FormsAuth サンプル

mvc.ganymedes.com:8008 - ASP.NET MVC 2.0 アプリケーション

service.ganymedes.com の web.config:

mvc.ganymedes.com の web.config:

jQuery の $.ajax または getJson を介して GET (または POST) を試すと (Firebug によると)、Cookie が送信されないため、WCF サービスから HTTP 302 が返されます。

ただし、MVC サイトをいじっているときに送信されます。

また、両方のアプリケーションの web.config ファイル (自己生成の validationKey と decryptionKey) にまったく同じ設定を入れました。

WCF バインディング構成では、FormsAuth の例には明示的な要素がありませんが、<bindings>これを追加しました:

または、サービスがまったくバインドされません。ブラウザーで直接 jQuery 呼び出しで使用するのと同じデータ URI を使用できます。ブラウザーは Cookie を送信し、WCF はデータを返します。サブドメイン間の呼び出しでそれを使用して、認証 Cookie を含めることはできないようです。

素敵できれいなAPIを作りたいです。私はサイトを作成しており、モバイル アプリが自分のサイトの Web API を使用できるようにしたいと考えています。

私は oAuth を使用したくありません。なぜなら、モバイル アプリケーションや組み込みアプリケーションが最大のハードルに直面しているからです。Web ブラウザを起動したり制御したりできない可能性があるからです。また、少し複雑です。

HTTP 基本認証は安全ではないことはわかっていますが、とても単純です...自分の API で使用したいと考えています。一部のユーザーのログインとそのパスワード (md5 エンコード) が mysql ベースにありますが、この HTTP 基本認証でそれらのデータを使用するにはどうすればよいですか?

旧式のセッションベースのサーバー ソリューションを RESTful のものに置き換えようとしています。このステートレス ドメインに移行する際のセキュリティ、認証などに関する設計原則に関する情報はどこにありますか?

さまざまなクライアント プラットフォーム (Flex/Air、ブラウザ、デスクトップ、モバイル アプリなど) で動作するソリューションを見つける必要があります。現在、サーバー側でphpを使用しています。

Web サイトに RESTful API を実装しようとしています (WCF データ サービスに基づいていますが、おそらく問題にはなりません)。

この API を介して提供されるすべてのデータは、サーバーの特定のユーザーに属しているため、それらのユーザーのみがリソースにアクセスできるようにする必要があります。このため、すべてのリクエストは、リクエストの一部としてログイン/パスワードの組み合わせを使用して実行する必要があります。

このシナリオでブルート フォース攻撃を防ぐために推奨されるアプローチは何ですか?

資格情報が間違っているために拒否された失敗したリクエストをログに記録し、失敗したリクエストの特定のしきい値を超えた後、同じ IP からのリクエストを無視することを考えていました。これは標準的なアプローチですか、それとも重要な何かが欠けていますか?

特定のレストランの評価を送信するためのフォームがあります。ユーザーがいくつかの値を入力して送信した後、ユーザーがログインしているかどうかを確認します。そうでない場合は、ログイン フォームを表示し、ユーザーにアカウント データを入力して、評価を送信したいレストランにリダイレクトさせます。問題は、彼がログインに成功した後、送信された値がデータベースに保存されないことです (ユーザーが既にログインしている場合は正常に機能します)。そのため、ユーザーがログインしていなくても、何らかの方法でデータを保存できるかどうか疑問に思いました。入力された値を変数に保存して、ユーザーをリダイレクトした後に自動的に再入力することを考えました。しかし、これは機能しないと思います

メソッドがフォーム内の値を処理する前にログインフォームを表示するため、入力された値にアクセスすることさえできませんでしたよね?

レールを作成して値を保存する方法、または少なくとも値をフォームに自動的に再入力する方法はありますか?

ありがとう！

既存の PHP アプリ (バックエンドは MySQL) に対してユーザー認証を行う「ストレートな」HTML と Javascript を使用して、スタンドアロンの Web アプリを作成するように依頼されました。残念ながら、私は PHP 認証がどのように機能するかをしっかりと把握していません。また、この特定のケースのためだけに PHP の学習に多くの時間を費やしたくありません。

これまでのところ、2つの可能性が見えます

1) 新しいアプリの周りに PHP ラッパーを作成し、ネイティブ PHP 認証を使用します (これは好きではありません)。

2）PHP認証を中心に単純なRESTフルWebサービスを作成します（これを行う方法がわかりません）

他に考慮すべきことはありますか？助けていただければ幸いです。

Rails アプリ (restful_authentication を使用) を Heroku にデプロイすると、次のエラーが発生します。

どうすれば機能しますか？

curl - いくつかの Rest API をテストしようとしています - 基本認証で xml を REST API にポストする構文は何ですか?