问题标签 [restful-authentication]

警告：其中一些可能是非常错误的，所以如果我的假设不正确，请告诉我。

这是我要完成的工作：

我正在使用restful-authentication进行登录。但是，当我在 UI 中使用 flex/ruby_amf 时，我必须分别对来自 flex 的每个连接进行身份验证。

我决定这样做的方法是将登录屏幕重定向到嵌入式 Flash 页面，将 session-id 作为 flashvar 插入。flash 应用程序会随每个请求发送 session-id，并且所有相关控制器上的 before 过滤器会检查与 session-id 标识的会话关联的用户是否已登录。

我将用户与会话关联的方法是在会话表中添加一个“user_id”列，并执行从登录函数调用的 sql“更新会话集 user_id...”类型查询。

但是，user_id 仅在用户第二次登录时更新。稍作调查表明，在执行登录功能期间，会话表中的记录尚不存在。

所以，如果到目前为止一切都有意义，并且符合最佳实践等，那么我的问题是：

会话表中的记录是在什么时间点创建的？有没有办法更新登录函数中的会话对象并让 Rails 为我将 user_id 写入数据库？

Rails 中会话的行为对我来说是一个真正的谜。我会很感激任何帮助。

谢谢你。

I'm using the restful_authentication plugin for my login page. The problem is that after I log in as a user, I never get logged out until I click on log out. How do I set a session timeout of 15 minutes? For example, after 15 minutes if I go to any page, I should be redirected to the login page.

我有一个使用 restful_authentication 插件的 rails 应用程序。我已经激活了“记住我”功能，但时不时地我会退出。问题是我看不到它何时发生的模式。

有时它在开发环境中有效，但在生产环境中无效。有时它适用于 Firefox，但不适用于 Safari。

有没有人遇到过类似的问题？此外，我们将不胜感激有关如何以合理的方式进行测试的建议（无需一直关闭并重新打开浏览器）。

有一个与使用异步 NSURLConnection 进行 iPhone 登录身份验证的最佳实践相关的问题。

由于相同的委托用于登录服务器，人们如何区分为身份验证请求返回的通知，与您为后续数据请求接收数据时的通知？

谢谢，

Sj

有人有什么想法吗？情况是这样的：我有一个主要的 Rails 应用程序和一个辅助应用程序。辅助应用程序用于将 Web 服务请求转换为 RESTful PUT 到主应用程序。辅助应用程序尝试添加的资源需要身份验证。任何想法将不胜感激！谢谢！

我已经安装了 mediawiki ，但是我想让用户从外部认证表单进行认证。当他们输入正确的用户名和密码时，他们会被重定向到 wiki 页面并且不需要再次重新输入登录数据，因此他们可以去以他们想要的方式编辑 wiki。我怎样才能做到这一点？

我已经安装了 Ruby CAS 服务器，我的应用程序是一个简单的 Restful 身份验证用户管理应用程序，我想通过为我的用户管理应用程序提供中央身份验证来试验我的应用程序，我为此使用了 Restful 身份验证插件，它充当 Ruby CAS 客户端。

Ruby CAS 服务器是否支持 Restful Authentication for Centralized Authentication 以实现 SSO（单点登录）？

是否有任何解决方法以支持 Ruby CAS 服务器中的 restful 接口，在此先感谢

嗨，之前已经在这个问题上写过这个观察和问题，但后来才注意到这是一个古老而“死”的问题。由于我真的很想从其他人那里获得一些见解，因此我将其重新发布为一个新问题。

对于如何 RESTfully 进行身份验证的问题，人们普遍热情地喊着“HTTP Authentication”。但是，我怀疑这些人是否曾尝试使用 REST 制作基于浏览器的应用程序（而不是机器对机器的 Web 服务）。（无意冒犯——我只是认为他们从未遇到过并发症）

在生成要在浏览器中查看的 HTML 页面的 RESTful 服务上使用 HTTP 身份验证时，我发现的问题是：

• 用户通常会得到一个丑陋的浏览器制作的登录框，这对用户非常不友好。您不能添加密码检索、帮助框等。
• 注销或以不同的名称登录是一个问题 - 浏览器将不断向站点发送身份验证信息，直到您关闭窗口
• 超时很困难

一篇非常有见地的文章逐点解决了这些问题，但这会导致很多特定于浏览器的 javascript 黑客攻击、变通方法到变通方法等等。因此，它也不向前兼容，因此随着新浏览器的发布需要不断维护。我不认为这种简洁明了的设计，而且我觉得这是很多额外的工作和头痛，只是为了让我可以热情地向我的朋友展示我的 REST-badge。

我相信cookies是解决方案。但是等等，饼干是邪恶的，不是吗？不，他们不是，经常使用 cookie 的方式是邪恶的。cookie 本身只是一段客户端信息，就像浏览器在您浏览时跟踪的 HTTP 身份验证信息一样。并且这条客户端信息在每次请求时都会发送到服务器，就像 HTTP 身份验证信息一样。从概念上讲，唯一的区别是这块客户端状态的内容可以由服务器作为其响应的一部分来确定。

通过仅使用以下规则使会话成为 RESTful 资源：

• 会话将键映射到用户 ID（可能还有超时的最后操作时间戳）
• 如果会话存在，那么这意味着密钥是有效的。
• 登录意味着 POST 到 /sessions，一个新的密钥被设置为一个 cookie
• 注销意味着删除 /sessions/{key} （使用重载的 POST，请记住，我们是浏览器，HTML 5 还有很长的路要走）
• 通过在每次请求时将密钥作为 cookie 发送并检查会话是否存在且有效来完成身份验证

现在，与 HTTP 身份验证的唯一区别在于，身份验证密钥由服务器生成并发送给不断将其发回的客户端，而不是客户端根据输入的凭据计算它。

我觉得这是一个足够好的解决方案，但我必须承认，我还不足以成为安全专家来识别该方案中的潜在漏洞——我所知道的是数百个非 RESTful Web 应用程序基本上使用相同的登录协议（php 中的 $_SESSION、j2ee 中的 HttpSession 等）。cookie 标头内容仅用于寻址服务器端资源，就像接受语言可能用于访问翻译资源等一样。我觉得它是一样的，但也许其他人没有？你们觉得怎么样？

我很难在两者之间做出决定。它们看起来都是很棒的插件，但我想知道哪个更容易控制。

你的家伙对这些插件有什么经验？你会推荐哪个？

三天以来，我正在尝试将 OpenID 身份验证添加到我的 Rails 应用程序中。

我已经阅读了很多关于这个主题的教程，似乎最终我会得到它的工作。

问题是到目前为止我需要的所有信息，很可能也是我需要的信息，都分散在网络上。

没有教程有我需要的一切，有些是针对 Rails < 2.0 的，有些没有提到插件的隐含先决条件，总的来说它真的很难，我仍然没有让它工作。

有没有关于这个主题的好教程，它涵盖了在 Rails 2.3 上使用带有 OpenID 的 restful_authentication 所需的所有步骤？