gpt4 book ai didi

iphone - 如何允许 a) 没有 CSRF token + SSL 的 HTTP 身份验证或 b) 需要带有设备的 CSRF token ?

转载 作者:行者123 更新时间:2023-12-03 19:45:28 24 4
gpt4 key购买 nike

我有一个 Rails 3 应用程序,使用在服务器上运行的设备配置了用户注册。我允许人们通过网站登录服务器,还允许人们创建帐户并使用 Iphone 应用程序登录。

当人们使用 Iphone 应用程序时,我想支持以下两个操作:

a) 在没有 CSRF 的情况下注册帐户(这是否会导致任何安全问题)?

b) 使用受 SSL 保护的 http 身份验证登录

c) 登录后向服务器发出的任何 POST 请求都将通过带有 SSL 的 http 身份验证进行保护。

当用户访问网站时,我希望所有操作都需要 CSRF token (以便用户不必每次都输入用户名和密码)。

感谢您的帮助。

最佳答案

您可以有选择地禁用 Controller 或单个操作方法上的 CSRF token 。

class StatsController < ApplicationController
skip_before_filter :verify_authenticity_token
...
end

我实际上想做类似的事情,我会让 iPhone 使用不同的域名,并根据几个条件有选择地禁用 :verify_authenticity_token 过滤器。这只是为了让我们坚持下去,直到我们能够启动并运行 OAUTH2 实现。

关于iphone - 如何允许 a) 没有 CSRF token + SSL 的 HTTP 身份验证或 b) 需要带有设备的 CSRF token ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4256760/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com