ruby-on-rails - Web 控制台中的 Rails gem devise_token_auth 标头无法访问 api,为什么?
问题描述
我正在学习如何在我的 rails 5 API 中实现安全性。我正在开发一个角度应用程序来使用 API,为此我正在实现 devise_token_auth gem,但是在邮递员的测试中,我可以使用电子邮件和密码进行注册,然后收到带有令牌(过期)的响应,数据, 内容类型, 客户端, uid,然后我从 Angular 进行测试,并从我的浏览器和 Web 控制台注册,我可以看到从另一个应用程序访问 api 所需的所有信息。
设计方法 authenticate_user 需要参数:content-type、access-token、client、expiry、uid,但是每个人都可以通过查看 Web 控制台中的响应来访问此信息,所以...我选择此信息并粘贴 Postman 请求,我可以访问受保护的端点,那么这个 gem 有什么用呢?我错过了什么吗?
在这里,我从 Angular 登录,并在 Web 控制台中检查响应:
然后将信息粘贴到邮递员的新请求中以访问受保护的端点:
并且访问成功了,如何防止header信息显示在web控制台上?
解决方案
但是,如果他们查看 Web 控制台中的响应,每个人都可以访问此信息
我错过了什么吗?
是的。“每个人”只能看到他们自己的令牌(不包括嗅探 http 之类的东西。您将使用 TLS,对吗?)。使用他们的代币,用户可以做他们想做的事,而你几乎无能为力。
但是他们无法通过这种方式看到其他用户的令牌。
推荐阅读
- spyder - 如何默认启用 Spyder Touch Bar 上的功能键?
- c# - 禁用转换为显式运行时类型
- angular - 如何使用模板 Web 组件识别主机环境?
- uipath - UIPath - 无法从 UI 获取文本
- ffmpeg - 让 ffmpeg 在视频上添加重复的文本覆盖
- typescript - 带有通用对象参数的打字稿接口
- postgresql - 在 PostgreSQL 中创建灵活的日期范围
- r - 透视数据集和列名 [R]
- pytorch - 如何在 Dataloader 中使用 Batchsampler
- android - 在 LinkedIn android 中分享图像+文本