我正在开发一个与rails服务器通信的Android应用程序。我不想忽略authenticity_token,但我也不认为要求它是正确的答案。如何保护我的POST请求?
答案 0 :(得分:5)
使用API时要求使用真实性令牌的情况并不常见,就像使用Android应用程序一样;这是因为生成了真实性令牌以防止cross-site request forgery attacks,这只能通过会话...而且通常如果您正在访问API,则不会(或不能)使用会话。所以我不会太担心在这里生成真实性令牌。
为了保护您的POST - 或者确实是任何请求 - 您可以使用多种选项。最简单的方法是使用HTTP basic对每个请求进行身份验证,而实现OAuth则更复杂,但可能更安全。无论哪种方式都可以为使用您的应用并连接到您网站的用户提供一些安全保障。