问题标签 [authenticity]

我有一个使用模式将数据发布到控制器并将其保存到数据库的 rails 应用程序。该流程在使用我的旧“原始”布局时完美运行，但在实施新的引导主题布局后，当我尝试提交时，我得到一个无效的 CRSF 错误。

如果我将控制器上的布局改回原来的，它工作得很好。

运行该 click/post 方法的 JS 如下：

除了控制器的布局之外，代码中没有任何变化，就像我提到的那样，如果我将布局改回原来的布局，它就可以正常工作。我是否会在新布局的 javascript 中遗漏 javascript 文件或其他内容？

新布局js文件：stack.js

旧版布局js文件：application.js

所有特定于新模板的 js 文件都位于 javascripts 主文件夹下的“stack”文件夹中，这就是为什么上面只包含 ./common 的原因。我不希望包含堆栈下的所有文件，因为有很多文件我还没有连接或删除。

有什么想法吗？

错误：

我们有一个 Android 应用程序可以与 IBM Mobile Foudation Platform 8.0' AppAuthenticity 配合使用。所以我们不得不将应用拆分成多个安卓模块，AppAuthenticity 从那以后就没有工作了。当尝试在启用 AppAuthenticity 的情况下登录时，没有响应，即永远不会触发成功或错误回调。

https://mobilefirstplatform.ibmcloud.com/tutorials/en/foundation/8.0/authentication-and-security/application-authenticity/

IBM MFP 服务器版本：8.0.2019022810。
IBM MFP Android SDK 版本：8.0.+
Gradle 构建工具：3.1.1
Gradle 4.4
调试和发布 apk 会出现问题。

我偶然发现了这个用于使用 JSON Web 加密的java nimbus-JOSE库。这个库很简单，需要几行 JWE 加密和解密，如下所示 JWE 加密。

但是，即使在阅读了它的 javadocs 和文档之后，我仍然对这个库有一些疑问。特别是关于 JWE 和这个库，

1. 解密 JWE 后，如何验证 JWE 的真实性？JWE 中没有“签名”，那么 JWE 的 5 个部分如何帮助检查有效性？图书馆对此有任何支持吗？
2. 除了标题和声明之外，JWT 中的其他字段是由库随机生成的吗？（我无法找到明确的证据。）
3. 如果我使用 alg：“RSA-OAEP”，enc：“A128GCM”，我应该在每次加密时得到不同的 JWE，但是，我得到的是相同的 JWE。RSA-OEAP-256 不应该防止这种情况发生吗？加解密流程的详细顺序是什么？
4. 我一直在尝试在 Javascript 中找到一个类似的库，但找不到像 nimbus-jose 这样的用于 java 的库。如果有人有建议，请在下面提供帮助！我感谢任何可以帮助我解决问题的人。欢迎所有输入。:)

假设我有一个开源 github 存储库，并且我使用该存储库中的解决方案提供付费服务。

有没有一种方法可以证明，在线服务确实使用了该存储库中的代码/版本，没有修改/添加等？

理想情况下，我正在寻找某种形式的加密证明，而不是“第三方审查”或“赏金计划”。这是很有价值的，因为这些服务的性质是安全的，并且每个用户都希望能够查看代码并确保特定的、未更改的代码版本正在为服务提供动力。我们可以假设在 AWS ECS 或类似服务中运行 docker 镜像，这样我们就可以避免所有平台相关的差异。

首次使用 SSH 连接到 git 存储库时，要求根据其指纹确认主机的真实性：

我们有 3 个选择：“是”、“否”和“[指纹]”。我很理解“是”和“否”的反应：

是 = 我已经检查了主机的指纹，没问题，请连接我。

no = 主机指纹不同，请不要连接我。

但我没有找到任何关于第三个选项的文档。在我检查过的每个文档中，例如 Microsoft 的这个或Heroku的这个，只有两个选项：“是”或“否”。

为什么我有第三个选项“[指纹]”，它的目的是什么？