个人中心
文章发布
退出
作者热门文章
- mongodb - 在 MongoDB mapreduce 中,如何展平值对象?
- javascript - 对象传播与 Object.assign
- html - 输入类型 ="submit"Vs 按钮标签它们可以互换吗?
- sql - 使用 MongoDB 而不是 MS SQL Server 的优缺点
26
4
我的 Rails 应用使用 Devise 进行身份验证。它有一个姊妹 iOS 应用程序,用户可以使用与 Web 应用程序相同的凭据登录到 iOS 应用程序。所以我需要某种 API 来进行身份验证。
这里有很多类似的问题指向this tutorial ,但它似乎已过时,如 token_authenticatable模块已从设计中删除,并且一些行抛出错误。 (我使用的是 Devise 3.2.2。)我尝试根据该教程(和 this one )推出自己的版本,但我对它不是 100% 有信心 - 我觉得我可能有一些东西被误解或错过了。
首先,听从this gist的建议,我添加了一个 authentication_token我的 users 的文本属性表,以及以下到 user.rb :
before_save :ensure_authentication_token
def ensure_authentication_token
if authentication_token.blank?
self.authentication_token = generate_authentication_token
end
end
private
def generate_authentication_token
loop do
token = Devise.friendly_token
break token unless User.find_by(authentication_token: token)
end
end
然后我有以下 Controller :
api_controller.rb
class ApiController < ApplicationController
respond_to :json
skip_before_filter :authenticate_user!
protected
def user_params
params[:user].permit(:email, :password, :password_confirmation)
end
end
(请注意,我的 application_controller 有 before_filter :authenticate_user! 行。)
api/sessions_controller.rb
class Api::SessionsController < Devise::RegistrationsController
prepend_before_filter :require_no_authentication, :only => [:create ]
before_filter :ensure_params_exist
respond_to :json
skip_before_filter :verify_authenticity_token
def create
build_resource
resource = User.find_for_database_authentication(
email: params[:user][:email]
)
return invalid_login_attempt unless resource
if resource.valid_password?(params[:user][:password])
sign_in("user", resource)
render json: {
success: true,
auth_token: resource.authentication_token,
email: resource.email
}
return
end
invalid_login_attempt
end
def destroy
sign_out(resource_name)
end
protected
def ensure_params_exist
return unless params[:user].blank?
render json: {
success: false,
message: "missing user parameter"
}, status: 422
end
def invalid_login_attempt
warden.custom_failure!
render json: {
success: false,
message: "Error with your login or password"
}, status: 401
end
end
api/registrations_controller.rb
class Api::RegistrationsController < ApiController
skip_before_filter :verify_authenticity_token
def create
user = User.new(user_params)
if user.save
render(
json: Jbuilder.encode do |j|
j.success true
j.email user.email
j.auth_token user.authentication_token
end,
status: 201
)
return
else
warden.custom_failure!
render json: user.errors, status: 422
end
end
end
在 config/routes.rb 中:
namespace :api, defaults: { format: "json" } do
devise_for :users
end
我有点不知所措,但我敢肯定,我 future 的自己会在这里回顾和畏缩(通常是这样)。一些不确定的部分:
首先,您会注意到 Api::SessionsController继承自 Devise::RegistrationsController而Api::RegistrationsController继承自 ApiController (我还有一些其他 Controller ,例如 Api::EventsController < ApiController,它们为我的其他模型处理更多标准 REST 内容,并且与 Devise 没有太多联系。)这是一个非常丑陋的安排,但我想不出另一种方法在 Api::RegistrationsController 中获取我需要的方法.我上面链接的教程有 include Devise::Controllers::InternalHelpers 行,但该模块似乎已在较新版本的 Devise 中被删除。
其次,我已通过 skip_before_filter :verify_authentication_token 行禁用了 CSRF 保护。 .我怀疑这是否是个好主意 - 我看到很多 conflicting或 hard to understand关于 JSON API 是否容易受到 CSRF 攻击的建议 - 但添加该行是我可以让该死的东西工作的唯一方法。
第三,我想确保了解用户登录后身份验证的工作原理。假设我有一个 API 调用 GET /api/friends它返回当前用户的 friend 列表。据我了解,iOS 应用程序必须获取用户的 authentication_token从数据库中(对于每个用户来说这是一个永远不会改变的固定值??),然后将其作为参数与每个请求一起提交,例如GET /api/friends?authentication_token=abcdefgh1234 ,然后我的Api::FriendsController可以做一些像 User.find_by(authentication_token: params[:authentication_token])获取 current_user。真的这么简单,还是我遗漏了什么?
因此,对于任何设法一直阅读到这个庞大问题结尾的人,感谢您的宝贵时间!总结一下:
Devise::RegistrationsController 的丑陋设计以及来自 ApiController 的其他人.谢谢!
最佳答案
您不想禁用 CSRF,我读到人们认为出于某种原因它不适用于 JSON API,但这是一种误解。要使其保持启用状态,您需要进行一些更改:
在服务器端添加一个 after_filter 到你的 session Controller :
after_filter :set_csrf_header, only: [:new, :create]
protected
def set_csrf_header
response.headers['X-CSRF-Token'] = form_authenticity_token
end
这将生成一个 token ,将其放入您的 session 中并将其复制到所选操作的响应 header 中。
客户端 (iOS) 你需要确保两件事情就位。
您的客户端需要扫描此 header 的所有服务器响应并在传递时保留它。
... get ahold of response object
// response may be a NSURLResponse object, so convert:
NSHTTPURLResponse *httpResponse = (NSHTTPURLResponse*)response;
// grab token if present, make sure you have a config object to store it in
NSString *token = [[httpResponse allHeaderFields] objectForKey:@"X-CSRF-Token"];
if (token)
[yourConfig setCsrfToken:token];
最后,您的客户端需要将此 token 添加到它发出的所有“非 GET”请求中:
... get ahold of your request object
if (yourConfig.csrfToken && ![request.httpMethod isEqualToString:@"GET"])
[request setValue:yourConfig.csrfToken forHTTPHeaderField:@"X-CSRF-Token"];
最后一个难题是要了解当登录到设计时,正在使用两个后续 session /csrf token 。登录流程如下所示:
GET /users/sign_in ->
// new action is called, initial token is set
// now send login form on callback:
POST /users/sign_in <username, password> ->
// create action called, token is reset
// when login is successful, session and token are replaced
// and you can send authenticated requests
关于ruby-on-rails - 这个 Rails JSON 身份验证 API(使用 Devise)安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20745843/
26
4
0
最近开始学习MongoDB。今天老师教了我们 mongoexport 命令。在练习时,我遇到了一个典型的问题,包括教练在内的其他同学都没有遇到过。我在我的 Windows 10 机器上使用 Mongo
我是 JSON Schema 的新手,读过什么是 JSON Schema 等等。但我不知道如何将 JSON Schema 链接到 JSON 以针对该 JSON Schema 进行验证。谁能解释一下?
在 xml 中,我可以在另一个 xml 文件中包含一个文件并使用它。如果您的软件从 xml 获取配置文件但没有任何方法来分离配置,如 apache/ngnix(nginx.conf - site-av
我有一个 JSON 对象,其中包含一个本身是 JSON 对象的字符串。我如何反序列化它? 我希望能够做类似的事情: #[derive(Deserialize)] struct B { c: S
考虑以下 JSON { "a": "{\"b\": 12, \"c\": \"test\"}" } 我想定义一个泛型读取 Reads[Outer[T]]对于这种序列化的 Json import
关闭。这个问题不满足Stack Overflow guidelines .它目前不接受答案。 想改善这个问题吗?更新问题,使其成为 on-topic对于堆栈溢出。 11 个月前关闭。 Improve
我的旧项目在 MySQL 中有 Standard JSON 格式的数据。 对于我在 JS (Node.js) 和 DynamoDB 中的全新项目,关于 Standard JSON格式: 是否建议将其转
JSON 值字符串、数字、true、false、null 是否是有效的 JSON? 即,是 true 一个有效的 JSON 文档?还是必须是数组/对象? 一些验证器接受这个(例如 http://jso
我有一个 JSON 字符串,其中一个字段是文本字段。这个文本字段可以包含用户在 UI 中输入的文本,如果他们输入的文本是 JSON 文本,也许是为了说明一些编码,我需要对他们的文本进行编码,以便它不会
我正在通过 IBM MQ 调用处理数据,当由 ColdFusion 10 (10,0,11,285437) 序列化时,0 将作为 +0.0 返回,它会导致无效的 JSON并且无法反序列化。 stPol
我正在从三个数组中生成一个散列,然后尝试构建一个 json。我通过 json object has array 成功了。 require 'json' A = [['A1', 'A2', 'A3'],
我从 API 接收 JSON,响应可以是 30 种类型之一。每种类型都有一组唯一的字段,但所有响应都有一个字段 type 说明它是哪种类型。 我的方法是使用serde .我为每种响应类型创建一个结构并
我正在下载一个 JSON 文件,我已将其检查为带有“https://jsonlint.com”的有效 JSON 到文档目录。然后我打开文件并再次检查,结果显示为无效的 JSON。这怎么可能????这是
我正在尝试根据从 API 接收到的数据动态创建一个 JSON 对象。 收到的示例数据:将数据解码到下面给出的 CiItems 结构中 { "class_name": "test", "
我想从字符串转换为对象。 来自 {"key1": "{\n \"key2\": \"value2\",\n \"key3\": {\n \"key4\": \"value4\"\n }\n
目前我正在使用以下代码将嵌套的 json 转换为扁平化的 json: import ( "fmt" "github.com/nytlabs/gojsonexplode" ) func
我有一个使用来自第三方 API 的数据的应用程序。我需要将 json 解码为一个结构,这需要该结构具有“传入”json 字段的 json 标签。传出的 json 字段具有不同的命名约定,因此我需要不同
我想使用 JSON 架构来验证某些值。我有两个对象,称它们为 trackedItems 和 trackedItemGroups。 trackedItemGroups 是组名称和 trackedItem
考虑以下案例类模式, case class Y (a: String, b: String) case class X (dummy: String, b: Y) 字段b是可选的,我的一些数据集没有字
我正在存储 cat ~/path/to/file/blah | 的输出jq tojson 在一个变量中,稍后在带有 JSON 内容的 curl POST 中使用。它运作良好,但它删除了所有换行符。我知
我是一名优秀的程序员,十分优秀!