5

我正在开发一个与 Rails 服务器通信的 Android 应用程序。我不想忽略authenticity_token,但我也不认为要求它是正确的答案。可以做些什么来保护我的 POST 请求?

4

1 回答 1

5

使用 API 时需要真实性令牌并不常见,就像 Android 应用程序一样;这是因为生成的真实性令牌是为了防止跨站点请求伪造攻击,这只有在会话中才有可能......而且通常如果您正在访问 API,您不会(或不能)使用会话。所以我不会太担心在这里生成真实性令牌。

为了保护您的 POST(或者实际上是任何请求),您可以使用许多选项。最简单的是使用HTTP basic对每个请求进行身份验证,更复杂但可以说更安全的是实现OAuth。无论哪种方式都会为使用您的应用程序并连接到您的网站的人提供一些安全性。

于 2012-04-26T16:07:21.977 回答