Rails 4 Mã xác thực

Tôi đang làm việc trên một ứng dụng Rails 4 mới (trên Ruby 2.0.0-p0) khi tôi gặp phải một số vấn đề về mã thông báo xác thực.

Trong khi viết một bộ điều khiển đáp ứng với json (sử dụng respond_tophương thức lớp), tôi đã có createhành động tôi bắt đầu có ActionController::InvalidAuthenticityTokenngoại lệ khi tôi cố gắng tạo một bản ghi bằng cách sử dụng curl.

Tôi chắc chắn rằng tôi đã thiết lập -H "Content-Type: application/json"và tôi thiết lập dữ liệu -d "<my data here>"nhưng vẫn không gặp may.

Tôi đã thử viết cùng một bộ điều khiển bằng Rails 3.2 (trên Ruby 1.9.3) và tôi không gặp vấn đề gì về tính xác thực của mã thông báo. Tôi đã tìm kiếm xung quanh và tôi thấy rằng có một số thay đổi với mã thông báo xác thực trong Rails 4. Từ những gì tôi hiểu, chúng không còn được tự động chèn vào biểu mẫu nữa? Tôi cho rằng điều này bằng cách nào đó ảnh hưởng đến các loại nội dung không phải HTML.

Có cách nào để khắc phục điều này mà không phải yêu cầu biểu mẫu HTML, lấy mã thông báo xác thực, sau đó thực hiện một yêu cầu khác với mã thông báo đó không? Hay tôi hoàn toàn thiếu một cái gì đó hoàn toàn rõ ràng?

Chỉnh sửa: Tôi vừa thử tạo một bản ghi mới trong ứng dụng Rails 4 mới bằng cách sử dụng một giàn giáo mà không thay đổi bất cứ điều gì và tôi đang gặp vấn đề tương tự vì vậy tôi đoán đó không phải là điều tôi đã làm.

Tôi nghĩ rằng tôi chỉ cần tìm ra nó. Tôi đã thay đổi mặc định (mới)

protect_from_forgery with: :exception

đến

protect_from_forgery with: :null_session

theo nhận xét trong ApplicationController.

# Prevent CSRF attacks by raising an exception.
# For APIs, you may want to use :null_session instead.

Bạn có thể thấy sự khác biệt bằng cách xem nguồn cho request_forgery_protecton.rb, hoặc cụ thể hơn là các dòng sau:

Trong Rails 3.2 :

# This is the method that defines the application behavior when a request is found to be unverified.
# By default, \Rails resets the session when it finds an unverified request.
def handle_unverified_request
  reset_session
end

Trong Rails 4 :

def handle_unverified_request
  forgery_protection_strategy.new(self).handle_unverified_request
end

Mà sẽ gọi như sau :

def handle_unverified_request
  raise ActionController::InvalidAuthenticityToken
end

Thay vì tắt bảo vệ csrf, tốt hơn là thêm dòng mã sau vào biểu mẫu

<%= tag(:input, :type => "hidden", :name => request_forgery_protection_token.to_s, :value => form_authenticity_token) %> 

và nếu bạn đang sử dụng form_for hoặc form_tag để tạo biểu mẫu, thì nó sẽ tự động thêm dòng mã ở trên vào biểu mẫu

Thêm dòng sau vào mẫu làm việc cho tôi:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Tôi không nghĩ rằng nói chung là tốt để tắt bảo vệ CSRF miễn là bạn không thực hiện độc quyền API.

Khi xem tài liệu API Rails 4 cho ActionContoder tôi thấy rằng bạn có thể tắt bảo vệ giả mạo trên mỗi bộ điều khiển hoặc trên mỗi cơ sở phương thức.

Ví dụ: để tắt bảo vệ CSRF cho các phương thức bạn có thể sử dụng

class FooController < ApplicationController
  protect_from_forgery except: :index

Đã đến cùng một vấn đề. Đã sửa nó bằng cách thêm vào bộ điều khiển của tôi:

      skip_before_filter :verify_authenticity_token, if: :json_request?

Bạn đã thử chưa?

 protect_from_forgery with: :null_session, if: Proc.new {|c| c.request.format.json? }

Tài liệu chính thức này - nói về cách tắt bảo vệ giả mạo cho api đúng cách http://api.rubyonrails.org/groupes/ActionControll/RequestForgeryProtection.html

Đây là một tính năng bảo mật trong Rails. Thêm dòng mã này vào mẫu:

<%= hidden_field_tag :authenticity_token, form_authenticity_token %>

Tài liệu có thể được tìm thấy ở đây: http://api.rubyonrails.org/groupes/ActionControll/RequestForgeryProtection.html

Những tính năng này đã được thêm vào cho mục đích bảo vệ và giả mạo.
Tuy nhiên, để trả lời câu hỏi của bạn, đây là một số đầu vào. Bạn có thể thêm các dòng này sau tên bộ điều khiển của bạn.

Như vậy

class NameController < ApplicationController
    skip_before_action :verify_authenticity_token

Dưới đây là một số dòng cho các phiên bản khác nhau của đường ray.

Đường ray 3

Skip_b Before_filter: verify_authenticity_token

Đường ray 4 :

Skip_b Before_action: verify_authenticity_token

Nếu bạn có ý định vô hiệu hóa tính năng bảo mật này cho tất cả các thói quen của bộ điều khiển, bạn có thể thay đổi giá trị của Protect_from_forgery thành : null_session trên tệp application_controll.rb của bạn.

Như vậy

class ApplicationController < ActionController::Base
  protect_from_forgery with: :null_session
end

Nếu bạn đang sử dụng jQuery với đường ray, hãy cảnh giác khi cho phép nhập vào các phương thức mà không cần xác minh mã thông báo xác thực.

jquery-ujs có thể quản lý mã thông báo cho bạn

Bạn nên có nó như là một phần của đá quý jquery-rails, nhưng bạn có thể cần đưa nó vào application.js với

//= require jquery_ujs

Đó là tất cả những gì bạn cần - cuộc gọi ajax của bạn sẽ hoạt động

Để biết thêm thông tin, hãy xem: https://github.com/rails/jquery-ujs

Thêm vào authenticity_token: truethẻ mẫu

Khi bạn xác định bạn sở hữu biểu mẫu html thì bạn phải bao gồm chuỗi mã thông báo xác thực, mã này phải được gửi đến bộ điều khiển vì lý do bảo mật. Nếu bạn sử dụng trình trợ giúp biểu mẫu đường ray để tạo mã thông báo xác thực được thêm vào biểu mẫu như sau.

<form accept-charset="UTF-8" action="/login/signin" method="post">
  <div style="display:none">
    <input name="utf8" type="hidden" value="&#x2713;" />
    <input name="authenticity_token" type="hidden" value="x37DrAAwyIIb7s+w2+AdoCR8cAJIpQhIetKRrPgG5VA=">
  </div>
    ...
</form>

Vì vậy, giải pháp cho vấn đề này là thêm trường xác thực_token hoặc sử dụng trình trợ giúp biểu mẫu rails thay vì làm tổn hại đến bảo mật, v.v.

Tất cả các bài kiểm tra của tôi đã hoạt động tốt. Nhưng vì một số lý do, tôi đã đặt biến môi trường của mình thành không kiểm tra:

export RAILS_ENV=something_non_test

Tôi quên không đặt biến này vì tôi bắt đầu có ActionController::InvalidAuthenticityTokenngoại lệ.

Sau khi bỏ đặt $RAILS_ENV, các bài kiểm tra của tôi bắt đầu hoạt động trở lại.