非常基本的RoR安全方法。但是它安全吗？

Question

我正在开发一个非常基本的RoR应用程序，基本上只有2-3个人在我的组织内使用。我还有其他一些应用程序(用Perl编写)，它们有时需要从RoR应用程序请求一个JSON对象。我需要阻止对此请求的未经授权的访问，但我不需要任何花哨的东西，因为只有我的应用程序才会请求访问。仅仅要求请求的应用程序发布一些预先确定的“密码”，并让RoR应用程序仅在POST请求中提供该密码的情况下才使用JSON对象进行回复，这样做安全吗(出于这个目的)？有没有其他简单安全的方法来实现这一点的建议？我对RoR非常陌生。

谢谢!杰夫

Answer 1

您可以实现更多花哨的解决方案，但您的方式非常有效。你可以通过简单地让你的应用使用SSL来隐藏密码的传输，而且它将比许多web服务更安全(许多网站仍然以纯文本传输凭证)。由于凭据仅限于在客户端和服务器之间使用，因此您可以将其设置为任意长度，这将限制暴力破解密码攻击的风险。

如果你想去一些更有异国情调的地方，我推荐使用gem 'api_auth'，它为你的URL参数添加了一个签名，这个签名是整个请求的哈希和一个密钥。gem将在客户端生成签名，然后在服务器端对签名进行验证。这是一个非常强大的解决方案。事实上，您不需要SSL，除非您不想让任何人看到URL和参数本身。但是签名对于确切的请求和包括request.ip在内的所有请求参数是唯一的，这使得除了发起者之外的任何人都不能使用该请求。附注--签名被附加到请求头，所以您在url或控制台日志中看不到任何不同之处。

Answer 2

简单且更安全的方法可能是使用带有密码和日期的sha1来创建密钥。这样一来，密钥每天都会改变。

类似于：

key = Digest::SHA1.hexdigest("secret#{date}")

希望这能有所帮助。