问题标签 [restful-authentication]

我使用Bort创建了一个学习应用程序，它是一个包含 Restful Authentication 和 RSpec 的基础应用程序。我已经启动并运行它并添加了一个新对象，该对象需要用户登录才能执行任何操作（before_filter :login_required在控制器中）。[编辑：我还应该提到has_many新类的用户并且只有用户应该能够看到它。]

我使用 Rspec 的生成器创建了新的模型/控制器，这些生成器创建了许多默认测试。如果没有before_filter但有几个失败，它们都会通过，正如预期的那样，一旦before_filter到位。

如何让生成的测试像有/没有登录用户一样运行？我是否需要一整批未登录的匹配 - 重定向测试？我认为这是某种模拟或固定技术，但我是 RSpec 的新手，有点飘忽不定。好的 RSpec 教程链接也将不胜感激。

我正在使用在 github 上找到的当前版本的 restful_authentication 并且我遇到了一堆奇怪的会话问题。服务器似乎以某种方式将会话分配给不应该的用户。这只发生在越过注销/登录障碍时。

这是一个例子。在服务器上没有活动会话的情况下，我使用用户 A 登录了一个帐户。在另一台机器上，我使用用户 B 登录。然后当注销用户 B 时，在注销重定向发生后的某个时间，我将登录为用户 A. 从这一点开始，我可以继续浏览该站点，就好像我以该用户身份登录一样！我通过日志观察到的是，当这种劫持发生时，会话 ID 是不一样的。用户 A 在两个会话中都登录了，但会话 ID 完全不同。这只是可能发生的事情的一个例子。我无法可靠地重现该问题，因为它看似随机。

它似乎不是环境或运行它的服务器的症状。我可以使用杂种和乘客重现问题。我也在开发和生产中看到了它。我在这个应用程序中使用基于 db 的会话，它在 Rails 2.1.1 上运行。我在调用生成器时应用了有状态选项。否则，没有对如何处理会话进行其他修改。

更新这里是直接来自 restful_authentication 的违规方法。

在使用restful_authenticationwithacts_as_state_machine和电子邮件激活的项目中，每当用户从电子邮件链接执行激活操作时，我都会收到双重渲染错误。

我正在使用默认值

激活，默认

重定向。重定向方法在以相同方式调用的所有其他情况下都有效。

双重渲染错误发生在路由为“/”的页面 main_page/home 的渲染中。

我应该寻找什么？

RESTful 身份验证是什么意思，它是如何工作的？我在 Google 上找不到很好的概述。我唯一的理解是您在 URL 中传递了会话密钥（remeberal），但这可能是非常错误的。

我正在构建一个与 Ruby on Rails 后端对话的 iPhone 应用程序。Ruby on Rails 应用程序还将为 Web 用户提供服务。restful_authentication 插件是提供快速和可定制的用户身份验证的绝佳方式。但是，我希望 iPhone 应用程序的用户在新列中存储一个由手机的唯一标识符 ([[UIDevice device] uniqueIdentifier]) 自动创建的帐户。稍后，当用户准备好创建用户名/密码时，帐户将更新为包含用户名和密码，iPhone 唯一标识符保持不变。用户在设置用户名/密码之前不能访问该网站。然而，他们可以使用 iPhone 应用程序，因为该应用程序可以使用它的标识符来验证自己。

修改 restful_authentication 以执行此操作的最佳方法是什么？创建插件？或者修改生成的代码？

替代框架怎么样，例如 AuthLogic。允许 iPhone 将生成的身份验证令牌锁定到其 UUID，然后让用户稍后创建用户名/密码的最佳方法是什么？

为与 IIS 托管的 RESTful WCF 服务对话的 Windows 窗体应用程序实施授权/身份验证的最佳方法是什么？

我问的原因是我很困惑，在筛选了不同的文章和帖子后，表达了不同的方法，最终找到了关于 WCF 安全最佳实践的约 650 页文档”（http://www.codeplex.com/WCFSecurityGuide）我是鉴于我的情况，只是不确定哪种方法是最好的，以及如何开始实施。

我从这篇文章“使用 WCF 3.5 设计和构建 RESTful Web 服务的指南”（http://msdn.microsoft.com/en-us/library/dd203052.aspx）和一个关于 RESTful WCF 服务的 PDC 视频开始，其中很棒，帮助我实现了我的第一个 REST 友好型 WCF 服务，

服务工作后，我返回实施安全性，请参阅。“安全注意事项”（页面下方的四分之一）并尝试按照说明实现 HTTP 授权标头，但是我发现代码不完整（请参阅从未声明过“UserKeys”变量的方式）。这就是我尝试更多地研究如何做到这一点（使用带有“授权”HTTP 标头的 HMAC 哈希，但在 google 上找不到太多内容？）它引导我阅读其他有关消息级安全性的文章，形成身份验证和自定义验证器，坦率地说，我不确定现在采取哪种方法是最好和最合适的。

综上所述（感谢您一直以来的聆听！），我想我的主要问题是，

- 我应该使用哪种安全实现？

- 有什么方法可以避免在每次 WCF 调用时发送用户名/密码？如果一开始就建立了连接，我不希望发送这些额外的字节，这将是在登录后允许进行后续调用之前。

- 如果我使用 SSL，我是否真的应该关心纯文本以外的任何内容？

如前所述，.NET 3.5 win forms 应用程序，IIS 托管的 WCF 服务，但重要的是我希望任何和所有 WCF 服务都需要此授权过程（但应该是会话、http 标头或其他），因为我不需要希望任何人都能够通过网络访问这些服务。

我知道上面的帖子很大，但我必须表达我已经失败的路线以及我需要完成的工作，非常感谢任何和所有帮助。

PS：我也知道这篇文章How to configure secure RESTful services with WCF using username/password + SSL如果社区建议我从 REST 转向 WCF 服务，我可以这样做，但是我开始这样做是为了保持一致性任何公共 API 的到来。

我认为重要的是我要说明我如何访问我的 WCF 服务（联系服务正在工作，但是验证凭据的最佳方法是什么 - 然后返回成员对象？）：

从 MS 文章中实现了一半的代码（以及我自己的一些用于测试的代码）：

如何从基于 REST 的 WCF 服务中读取授权标头信息？

这与这个问题有关。我正在编写一个使用 REST 的 Flex 应用程序（一个 WindowedApplication）。当我使用有效的身份验证发布时一切都很好，但如果我碰巧将无效的用户名或密码传递给 REST API（具体来说是 Twitter REST API），则会弹出一个身份验证对话框。

这不是理想的用户体验，当我使用 HTTPService 和 URLRequest 时都会发生这种情况。我似乎没有可以捕捉到取消对话框的事件。

这是我的代码的样子：

我错过了什么吗？有没有更好的方法来解决这个问题？

这些年来，我已经为 webapps 实施了几次身份验证系统，但在我再次这样做之前，我想我会问是否有我应该知道的罐装解决方案。

上次我检查时，没有内置的 Rails 身份验证系统，标准解决方案是restful-authentication插件。还是这样吗？或者它现在已经被合并到 Rails 中了？我见过这种情况。

我需要维护对 Apache 服务器的 REST 调用之间的会话信息。从来没有在 Apache 平台上开发过，我希望找到一个可以帮助促进会话信息和应用程序安全性的包/模块。请针对新手的答案。