問題タブ [restful-authentication]

私は Spring/JavaEE Web プログラマーであり、将来の Web アプリケーションのために REST の原則を調査し始めていますが、使用可能なログインを行う方法がわかりません。Web API の場合は理にかなっていますが、エンド ユーザー向けの Web アプリケーションについてはどうでしょうか。HTTP 基本/ダイジェスト認証を調べましたが、見苦しいダイアログ ボックスしか表示されません。誰にもアイデアはありますか？

ユーザーがブラウザーで Cookie を無効にしている場合でも、安静な認証と役割要件は引き続き機能しますか?

私たちのサイトでは、Cookie が無効になっているため、システムにログインできません。これを修正する方法はありますか?

前もって感謝します。

サードパーティの開発者がアクセスできる API を持つ単純な Web サービスがあります。API はほとんどの場合、REST の原則に従います。

開発者にクライアント証明書の使用を要求することで、API をより安全にするソリューションに興味があります。認証にユーザー レベルの証明書を使用する REST ベースの API を支援するオープン ソース ソリューションやその他の実装に関するアドバイスはありますか?

PHP アプリケーションから restful_authentication に対して認証を行おうとしていますが、SHA1(digest--salt--password--RESTFUL_AUTH_KEY) を使用していることは理解しています。問題は、ハッシュを一致させることができないことです。ドキュメントを読むと、ダイジェストは安静な認証キーに過ぎないことがわかりますが、ここで混乱します。ruby 以外でハッシュ化されたパスワードを照合する方法を見つけた人はいますか?

このプラグインを使用してRESTful認証をインストールしましたが、localhost：3000 / loginに移動すると、このエラーが発生します

SessionController＃newのNameError

初期化されていない定数SessionController

何か案は？助けてください。

しばらくの間、Rails アプリケーションのテスト スイートで次のランタイム エラーが発生しました。

これはおそらく、restful_authentication の更新によって導入されました。しかし、「attr_protected」のコードをスキャンすると、呼び出されないことがわかります。では、なぜこのエラー メッセージが表示されるのでしょうか。

私のユーザーモデルには次のコードしかありません:

それで、それは完全に大丈夫なはずですか？問題を探す手がかりはありますか？Google で検索すると、この問題がテスト環境でのみ発生し、開発環境で散発的に発生する無知な人が何人かいます。

current_userのデータをattr_accessor：offsetを使用してUserモデルに保存しようとしています。current_userモデルに保存されているオフセットを使用して、別のモデルのレコードをフェッチしたいと思います。このオフセットを別のモデルから変更すると、保存されませんか？

offestのデータベース列はやり過ぎだと思います。このオフセットは0..n整数になります。

OpenIDをRESTfulWebサービスとどのように組み合わせますか？

私が取り組んでいる個人的なプロジェクトは、RPXSaaSを使用してOpenIDを実行することです。この主な結果は、ログインしたユーザーを説明するURLです。アプリ自体はかなりJavascriptであり、データベースの永続性と空間処理のためにバックエンドと通信するためにRESTAPIを使用することを計画しています。

このアプリケーションのセキュリティ要件は大きくありません。どのユーザーがリクエストを行っているのか知りたい。データの機密保持のためにSSLを使用する必要はないと思います。また、SSLを実行するオーバーヘッドは必要ありません。

私はSpringを使用しており、可能であればSpring Security（Acegi）を使用したいと思っていますが、その考えに固執していません。

オプション：

1. OpenID URLをJavascriptアプリに返し、これを使用してユーザーのリソースのリストを取得してから、それらのリソースをIDで取得/保存などします。

2. OpenIDURLをランダムセッショントークンに接続するセッションテーブルを作成します。トークンをJavascriptアプリに返します。その後、Javascriptアプリは、後続のすべてのリクエストでトークンを返す必要があります。

3. オプション2のセッションをOAuthのコンシューマートークンなどとして使用します。最初に、セッションはPKI暗号化を使用してアプリに送信されます。

4. J2EEHTTPセッションに依存します。

これらのオプションのうち、私はオプション2に傾倒しています。攻撃者はセッションIDを推測する必要があり、アプリケーションがスニッフィングからの保護を必要とするとは思わないため、セッションのハイジャックは困難です。オプション3は基本的にオプション2と同じですが、セッションIDはスニッフィングに使用できません。オプション4は、OpenID URLをサーバーのメモリに配置し、RESTが回避するように設計されているすべてのスケーラビリティの問題を引き起こします。

これについての議論に感謝します。

ユーザーができるだけ早くログインできるようにしようとしているので、ユーザーが同じフォームでログインしてレコードを作成できるようにしたいと思います。

なんらかの方法でセッションコントローラーのcreateメソッドを呼び出して、任意のコントローラーからrestful_authenticationプラグインを使用してユーザーを認証し、認証されたユーザーを返すことは可能ですか？これはどういうわけか簡単にできるようですが、Railsでそれを行う方法がわかりません。

多分次のようなものです：

これを行う方法についてのアイデアをいただければ幸いです。