Ruby on rails 非常基本的RoR安全方法。但它安全吗?
我正在开发一个非常基本的RoR应用程序,它基本上只供组织内的2-3人使用。我还有一些其他应用程序(用Perl编写),它们不时需要从RoR应用程序请求JSON对象。我需要防止未经授权访问此请求,但我不需要任何花哨的东西,因为只有我的应用程序才会请求访问。仅仅要求请求POST的应用程序发布一些预先确定的“密码”,并且只有在POST请求中提供了该密码时,RoR应用程序才会回复JSON对象,这是否安全(足够安全)?有没有其他一些简单安全的方法来实现这一点的建议?我对RoR很陌生 谢谢大家!!Ruby on rails 非常基本的RoR安全方法。但它安全吗?,ruby-on-rails,Ruby On Rails,我正在开发一个非常基本的RoR应用程序,它基本上只供组织内的2-3人使用。我还有一些其他应用程序(用Perl编写),它们不时需要从RoR应用程序请求JSON对象。我需要防止未经授权访问此请求,但我不需要任何花哨的东西,因为只有我的应用程序才会请求访问。仅仅要求请求POST的应用程序发布一些预先确定的“密码”,并且只有在POST请求中提供了该密码时,RoR应用程序才会回复JSON对象,这是否安全(足够安全)?有没有其他一些简单安全的方法来实现这一点的建议?我对RoR很陌生 谢谢大家!! Jeff更
Jeff更简单、更安全的方法可能是使用带有密码短语和日期的sha1创建密钥。这样,钥匙每天都会更换 比如:
key = Digest::SHA1.hexdigest("secret#{date}")
希望这能有所帮助。您可以实施更奇特的解决方案,但您的方法非常有效。你可以通过简单地让你的应用程序使用SSL来隐藏密码的传输,它将比许多web服务更安全(许多网站仍然以纯文本传输凭据)。而且,由于凭据仅限于在客户端和服务器之间使用,因此您可以随意使用,这将限制暴力密码攻击的风险
如果你想去更奇特的地方,我建议你使用gem,它会在你的URL参数中添加一个签名,这个签名是你整个请求的散列和一个密钥。gem将在客户端生成签名,然后在服务器上验证签名。这是一个非常强有力的解决方案。事实上,您不需要SSL,除非您不希望任何人看到URL和参数本身。但是签名对于确切的请求和包括request.ip在内的所有请求参数都是唯一的,这使得除了发起人之外的任何人都无法使用该请求。旁注——签名被附加到请求头中,因此您不会在url或控制台日志中看到任何不同的内容。简单的嵌入密码短语是最简单的方法,但如果此服务公开于公共internet,您可能需要更安全的东西。这可能涵盖了所需的功能和基本的身份验证形式,尽管问题是这根本不安全。使用curl或RestClient可以很容易地处理一个简单的POST请求,从而使您的应用程序非常容易受到攻击