我正在开发一个非常基本的RoR应用程序,基本上只能由我组织内的2-3个人使用。我有一些其他应用程序(用Perl编写),有时需要从RoR应用程序请求一个JSON对象。我需要防止未经授权访问此请求,但我不需要任何花哨的东西,因为只有我的应用程序才会请求访问权限。是否安全(足够,为此目的)只要求应用程序请求POST一些预先确定的“密码”,并且只有在POST请求中提供了该密码时才让RoR应用程序回复JSON对象?有没有其他建议可以通过一些简单而安全的方法来实现这一目标?我对RoR很新。
谢谢! 杰夫
答案 0 :(得分:1)
简单而且更安全,可能是使用带有密码和日期的sha1来创建密钥。这样钥匙每天都会改变。
类似的东西:
key = Digest::SHA1.hexdigest("secret#{date}")
希望这有帮助。
答案 1 :(得分:1)
您可以实施更多花哨的解决方案,但您的方式非常有效。您可以通过简单地使您的应用程序使用SSL来隐藏密码的传输,并且它比许多Web服务更安全(许多站点仍以纯文本形式传输凭据)。由于凭据仅限于在客户端和服务器之间使用,因此只要您愿意就可以使用凭据来限制暴力密码攻击的风险。
如果你想去更具异国情调的东西,我建议使用gem 'api_auth',它会为你的URL参数添加一个签名,这是你整个请求的一个哈希值和一个密钥。 gem将在客户端上生成签名,然后在服务器上验证签名。这是一个非常强大的解决方案。实际上,除非您不希望任何人看到URL和params本身,否则您不需要SSL。但是签名对于确切的请求和所有请求参数(包括request.ip)是唯一的,这使得请求除了发起者之外的任何人都不可用。附注 - 签名附加到请求标头,因此您不会在网址或控制台日志中看到任何不同的内容。