2010-08-07 14 views
3

Je suis juste en train de mettre en place une application web simple dans Ruby on Rails 3 RC et je suis un peu perplexe avec la protection de faux. Je prévois d'avoir une interface web et d'autoriser les appels d'API XML depuis une application iPhone. Je suis en train de tester ceci avec un générateur de requête REST mais je reçois des erreurs InvalidAuthenticityToken. Premièrement, je pensais que ceux-ci ne s'appliquaient qu'aux demandes qui n'étaient pas XML ou JSON. Deuxièmement, j'attache une clé d'API unique à l'utilisateur avec une requête XML afin que la protection contre la falsification puisse être obtenue par d'autres moyens (je ne sais pas entièrement sécurisé, mais un début correct pour le développement). Est-ce que quelqu'un a des pointeurs pour empêcher cette protection pour les requêtes XML/JSON de contourner d'une manière ou d'une autre le vérificateur de jetons par défaut pour valider via mon propre système API Token avant d'utiliser le système embarqué?Ruby on Rails 3 InvalidAuthenticityToken avec des appels REST

Vive Dave Finster

Répondre

0

Avez-vous défini manuellement le type de demande, selon cette réponse?

Turning off authenticity token in Rails 2 for web services?

+0

Oui, sauf que j'utilisé l'application/xml évidemment depuis que je suis après la demande XML. J'utilise simplement un générateur de requêtes Java REST rudimentaire. La console du serveur rails indique que la requête est en cours de traitement en tant que XML. –

+0

Oui, mais il y a trois différentes parties de la requête qui traitent du format: il y a l'extension du fichier (donc si vous appelez 1.xml), il y a l'en-tête 'accepts' et l'en-tête 'content-type'. Parfois (je sais que je l'ai déjà rencontré sur mes propres applications), l'application traite très bien une entrée xml, même si les données ont un mauvais en-tête de type de contenu. Je serais intéressé de voir les en-têtes HTTP sur cette demande? Désolé si je dis des choses que vous connaissez déjà ...: D – jasonpgignac