我正在开发一个Android应用程序,它与铁轨服务器通信。 我不想忽略authenticity_token但我也并不认为要求它是正确的答案。 可以做些什么来保护我的POST请求?
Answer 1:
这是罕见的,当你使用一个API,要求真伪的标记,比如你会为Android应用程序; 这是因为真实性令牌生成,以防止跨站请求伪造攻击 ,这是唯一可能与会话......通常,如果你访问你不(或不能)使用一个会话的API。 所以,我不会太在意这里生成的真实性令牌。
为了保护自己的帖子 - 或任何要求 - 有提供给您多种选择。 最简单的将是验证每个请求的HTTP基本 ,多复杂,但可以说是更安全的办法是执行的OAuth 。 无论哪种方式,将提供一些安全使用你的应用程序,并连接到您的网站的人。
文章来源: Authenticity_token in Rails + Android