问题标签 [authenticity]

我有一个有趣的挑战要解决一个旧的 Rails 2.0.2 应用程序（在更新到 Rails 4 的过程中，但我等不及要解决这个问题了）。问题是这样的：我们即将发布离线内容，最终将用户带到我们的网站上。在从离线到在线的过渡中，有一个他们离线填写的表格，但我们希望能够将数据发布到表格的在线版本，而无需用户填写相同的表格两次。我看到的问题是如何处理在线版本中更改的 Authenticity Token。任何人都对我们如何解决这个问题有任何建议。我了解 Authenticity Token 的目的是防止我正在尝试做的事情，但我可以解决它吗，例如，通过以某种方式用离线版本的数据预填充在线版本？我认为我不能重现当前工作的真实性令牌/会话对，除非我能以某种方式将相同的 session_id 写入在线表单域的 cookie？或者也许我必须在服务器端解决它？我试图避免仅针对此问题使用自定义代码服务器端...提前感谢您的任何回复。

我正在为 iphone (ios 7) 环境部署一个 worklight 6.2 应用程序。我设法为 iphone 启用了应用程序真实性。启用应用程序真实性功能后，直接更新功能将失败。在iphone上，当我收到新的更新时点击“确定”按钮后，应用程序会下载更新一段时间然后显示：直接更新失败（Direct Update Failure）。我都在 xcode 控制台中看到了这个错误日志：

我在authenticationConfig.xml中配置安全测试并将文件 .war 文件部署到 Worklight Server：

然后在application-descriptor.xml：

我有一个 API 端点，外部网站可以在其中提交 POST 请求。确保请求真实且未被篡改的最佳方法是什么，因此它们尊重完整性原则？

由于信用卡信息等数据没有价值，我不需要 HTTPS 集成。

我已经查看了 HMAC 和数字签名，我相信第二种选择会更好，但我不确定这是否是要走的路？

同样，在我的服务器上散列请求并验证它就足够了吗？

我通过添加以下内容在 Controller 中应用CSRF ：

我使用Postman向我的 API 发出发布请求。有趣的结果是我无法验证CSRF，但我发送的数据仍然被插入到数据库中。

这是服务器日志。

似乎一切都很好，数据现在在数据库中！为什么CSRF不起作用？

任何人都可以给出任何解释吗？

我试图弄清楚rails4将真实性令牌存储在哪里。在每个请求上，rails 似乎都会生成一个新令牌。但是，当使用 cookie 存储时，所有这些令牌都存储在哪里呢？我查看了会话变量，但找不到任何东西。

我正在做一个项目，需要概念上的帮助。

它允许网站将他的用户重定向到我的网络应用程序。
在 web 应用程序端，用户必须输入一些关于他的详细信息，然后用户被重定向回原始网站，详细信息也使用 GET 参数发送回原始网站。
原来的网站然后可以阅读详细信息。

一切正常，但我想保护应用程序，用户不应该简单地编辑 GET 参数，实际上网站必须检查参数的真实性。

在 Web 应用程序端和原始网站端是否有任何模式实现以保护 GET 参数。

1. （网站）-> 2.（我的应用程序）-> 3.（网站+使用 GET 参数的应用程序的详细信息）=如何检查 GET 参数的真实性？

谢谢。

在 MobileFirst 8.0 中的 App Authenticity 测试期间，我发现使用（Android）应用程序的调试包和发布包在控制台上启用和禁用 App Authenticity 设置之间切换的奇怪行为：

• 按照使用 mfp-app-authenticity-tool.jar 工具签署应用程序（发布包）的说明，通过控制台注册 .authenticity_data 文件，并设置应用程序的 Security-Check Configurations 以使用带有 Expiration Period 值的 appAuthenticity 设置。

• （初次连接时）在设备上安装应用发布版本后，应用成功连接MFF Server并调用适配器。

• （从同一设备上删除应用程序的发布版本后）在设备上安装了应用程序的调试版本，并且应用程序无法按预期连接到MFF Server。

• 通过删除控制台上的 Authenticity File 禁用 App Authenticity，设备上的调试版本应用程序成功连接到 MFF Server 并调用适配器。

• 使用与第一步相同的说明“重新启用”App Authenticity，但该应用程序的调试版本仍然可以连接到 MFF Server 并调用适配器。我知道有 Maximum Token-Expiration Period 和 Expiration Period 设置，但我将这两个值都设置为 60 秒以进行测试。（重新安装应用程序的调试版本并在不更改服务器的情况下测试操作会产生预期的行为 - 即无法连接。）

我想知道这是否是在控制台上实时启用/禁用 App Authenticity 设置的正常行为.. 以及该功能是否仅适用于 Enable -> Disable 的一组操作。

任何想法？

谢谢！

IBM MobileFirst：为什么在 IBM MobileFirst Platform Foundation 7.0 和 7.1 中，在从 Apple App Store 安装应用程序后，Application Authenticity 会拒绝应用程序，尽管该应用程序具有真实身份？

我目前正在测试适用于 Android 和 iOS 环境的 IBM MobileFirst Platform 8.0 应用程序真实性功能，Android 版本适用于所有必需的设置和程序，但 iOS 版本似乎不适用于以下环境和程序：

• 在 Bluemix 版本 8.0.0.00-20161122-1902 上运行的 IBM MobileFirst 平台 v8
• 科尔多瓦-插件-MFP 8.0.2016110713
• 测试应用程序：MFPStarterCordova

该应用程序被归档到 ipa 文件中，并且使用 mfp-app-authenticity-tool.jar 为 ipa 文件生成authentity_data 文件。真实性文件注册和相关安全检查（appAuthenticity）设置在控制台上正确完成，我在（真实）iPhone设备上安装了ipa。（应用程序按预期成功连接到服务器并从服务器获取令牌）

我更改了一些 html 代码 - 例如简单的字符串值 - 并在 iPhone 设备上重新安装了更改后的 ipa，但在我对原始应用程序所做的设置下，服务器似乎没有检查/检测更改。- 即更改后的应用程序成功连接到服务器并从服务器获取令牌。

是否有任何其他需要配置或更改以使该功能在 iOS 上运行？

git历史可以被伪造吗？

例如，我正在考虑以下信息：

• 提交日期
• 提交内容
• 提交者的身份

如是 ：

• 有没有办法验证 git repo 的内容或使其可验证？
• 如何知道 git 历史记录是否被修改？