Rails +安卓中的Authenticity_token

Question

我正在开发一个与rails服务器通信的Android应用程序。我不想忽略authenticity_token，但我也不认为要求它是正确的答案。可以做些什么来保护我的POST请求？

Answer 1

在使用应用程序接口时需要真实性令牌是不常见的，这是因为生成的真实性令牌是为了防止cross-site request forgery attacks，这只能通过会话来实现……通常，如果您正在访问API，则不(或不能)使用会话。因此，我不会太担心在这里生成真实性令牌。

为了保护你的帖子--或者任何请求--你有很多选择。最简单的方法是使用HTTP basic对每个请求进行身份验证，而实现OAuth会更复杂，但可以说更安全。无论哪种方式，都会为使用你的应用程序和连接到你的网站的人提供一些安全保障。