Session 通过重写进行couchdb公共接口身份验证
我在一个特定的域上设置了一个网站,该网站通过重写和虚拟主机与我的couchdb url完全分离,我需要使用_SessionsAPI添加一些用户身份验证,但恐怕我无法使用重写:Session 通过重写进行couchdb公共接口身份验证,session,authentication,cookies,couchdb,Session,Authentication,Cookies,Couchdb,我在一个特定的域上设置了一个网站,该网站通过重写和虚拟主机与我的couchdb url完全分离,我需要使用_SessionsAPI添加一些用户身份验证,但恐怕我无法使用重写: { "from": "auth", "to": "../../../_session" } 给我: {"error":"insecure_rewrite_rule","reason":"too many ../.. segments"} 这是可以接受的,但现在我想知道如何在不公开couchdb url的情况下让
{
"from": "auth",
"to": "../../../_session"
}
给我:
{"error":"insecure_rewrite_rule","reason":"too many ../.. segments"}
这是可以接受的,但现在我想知道如何在不公开couchdb url的情况下让会话身份验证在我的域中工作,而且会话似乎与域相关,因此如果我通过couchdb.example.com登录,当使用mywebsite.com作为公共接口时,它将不起作用
谢谢
PS.我刚刚通过禁用httpd配置文件上的
secure\u rewrites
找到了替代方法,这似乎是可行的,尽管我想知道这可能不是一个好方法,是否还有其他方法可以解决这类问题 我建议设置secure\u rewrites=false
,不要担心
我们在Iris沙发论坛上进行了一次很好的讨论。稍后也可以看到我的帖子。以下是重点:
选项不是数据安全的最终来源。充其量,它是多层解决方案中的一层secure\u rewrites
- 安全性的最终来源是数据库中的
对象。这就是你应该集中注意力的地方\u security
- 这个工具会扫描你沙发上的每一个细节,它会告诉你是否有危险信号。它是用Javascript实现的,所以如果你有NodeJS,你可以运行它;或者仅仅阅读源代码就可以让您了解它在寻找什么
default.ini
的[httpd]
部分:
vhost_global_handlers = _utils, _uuids, _session, _oauth, _users
哇,非常感谢杰森,有这样的反馈感觉真好。谢谢你。我肯定会使用它,同时,祝贺audit_couchdb,我刚刚安装在这里,它真的很有用。现在,它将成为我开发过程的一部分。:)Cheers通过curl:curl-XPUT“$coach/\u config/httpd/secure\u rewrites”-d“false”