【发布时间】:2018-10-09 14:45:45
【问题描述】:
我正在学习如何在我的 rails 5 API 中实现安全性。我正在开发一个角度应用程序来使用 API,为此我正在实现 devise_token_auth gem,但是在邮递员的测试中,我可以使用电子邮件和密码进行注册,然后收到带有令牌(过期)的响应,数据, 内容类型, 客户端, uid,然后我从 Angular 进行测试,并从我的浏览器和 Web 控制台注册,我可以看到从另一个应用程序访问 api 所需的所有信息。
设计方法authenticate_user需要参数:content-type、access-token、client、expiry、uid,但是每个人都可以访问这些信息,如果他们查看Web控制台中的响应,那么...我选择此信息并粘贴到 Postman 请求中,然后我可以访问受保护的端点,那么这个 gem 有什么用处呢?我错过了什么吗?
我在这里从 Angular 登录,并在 Web 控制台中检查响应:
然后将信息粘贴到邮递员的新请求中以访问受保护的端点:
并且访问成功,如何防止header信息显示在web控制台上?
【问题讨论】:
标签: ruby-on-rails angular rubygems rails-api devise-token-auth