我正在使用一个 Arduino,我想将数据发送到我的远程或本地 Rails RESTful API。在构建其前端时,我可以使用 devise 登录并进行身份验证。但我想知道当您希望第三方设备将数据发布到后端时会发生什么?
一种选择是使用随机生成的长散列作为 key ,就像 Twitter 所做的那样(例如客户端 key 和 API key ),这当然不安全,但会降低某人轻松将数据发布到另一个帐户的机会。
但是,如果我是对的,数据将通过 HTTP 连接发送,这样它们就可以很容易地被嗅探到。发送温度数据没有问题,但如果有人决定发送 RFID ID 和姓名等,这可能是一个漏洞。
如何使用 POST 请求将数据发送到 RESTful Rails 后端 API:
- 已通过身份验证?
- 安全吗?
最佳答案
- 已通过身份验证?
您需要一个第三方可以调用的端点(我们称他为 Zed)。 Zed 使用他的电子邮件地址向该端点发送请求 (POST)。 Devise 然后向 Zed 发送一封电子邮件,其中包含一个包含 confirm_token 的确认链接。 Zed 单击链接,打开一个页面,他可以在其中输入密码。一旦输入,他就会登录,并根据他的用户 ID 存储一个 auth_token。随后,他可以使用该 auth_token 通过在 Authorization header 中传递 token 来发出进一步的请求。 'confirm_token' 被丢弃(您可以将其设置为在给定时间段后自动过期)。
显然,这需要 Zed 手动创建他的帐户并登录。即使您设置了第 3 方“开发人员计划”,您仍然需要这些开发人员注册并为他们生成 token ,以便他们可以将请求传递给您的 api。所有这些当然应该通过 https 完成。 Devise 提供几乎所有这些开箱即用的功能。
- 安全吗?
HTTPS 有助于“嗅探”方面。上面的方法是安全的,因为只有提供他们有权访问的电子邮件帐户的人才能创建帐户并获取 token ,然后他们可以使用这些 token 以供以后请求。但是,您可以使用手机号码/短信作为第二个因素(谷歌双因素身份验证)。
- 没有认证 - 好吧,有点
我能想到的唯一其他选择是您向已知用户颁发“签名 key ”。他们使用此 key 签署(加密)他们的请求。由于 key 应该只有他们知道,并且只能由服务器使用匹配的公钥解密,因此可以通过 HTTP 发送数据。如果有人嗅到它,他们几乎肯定无法破解 key 以查看真实数据是什么。他们真正能做的就是模仿请求并在 DOS 攻击中不断向服务器重复发送相同的请求。
但是您仍然需要解决如何验证您将 key 提供给谁的问题 - 即您仍然需要以某种方式验证 Zed 是谁。您是否打算离线执行此操作,然后通过电子邮件向“已验证”的个人发送私钥?使用 RoR,我仍然建议坚持使用 Devise,因为大部分繁重的工作已经为您完成。
关于ruby-on-rails - 无需身份验证即可将安全的 POST 数据发送到 RESTful API,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34990243/