【发布时间】:2012-02-25 16:39:50
【问题描述】:
我有 2 个 Rails 应用程序都需要访问第 3 方 API。只有一个应用程序在我的控制之下,另一个是独立的并且超出我的控制范围。另一个应用程序使用 OAuth 获取令牌并处理请求。我想以某种方式捎带该应用程序的 OAuth 令牌,但我需要一些方法将其安全地传输到我的应用程序。我已经同意单独的应用程序,所以这不是问题,假设我们可以找到一个安全且尽可能轻松的解决方案。
最大的问题是这两个应用程序都在同一个页面上(一个显示整个页面,而我控制的一个只负责一些 AJAX 请求)。这就是为什么我不能只授权第二次,我的 AJAX-only 应用没有登录界面,只需要站在主应用的肩膀上。
目前,我想不出不涉及在 HTML 源代码中传递不安全令牌的解决方案,这会使我的 AJAX 应用程序容易受到攻击。另外,我想避免 Rails 应用程序必须创建路由以通过其服务器汇集我的 AJAX 请求。
任何关于如何让我的仅 AJAX Rails 应用程序利用主要 Rails 应用程序的 OAuth 的建议将不胜感激。谢谢。
【问题讨论】:
标签: ruby-on-rails ajax security oauth