Jaka jest różnica między null_session a reset_session w Railsach 4?

Question

Obecnie pracuję nad aplikacją Railsową z kilkoma innymi programistami, a na serwerze przesyłane są POST przez AJAX przez Angular. Od czasu do czasu zauważyliśmy kilka wyjątków od InvalidAuthenticityToken, które przechodzą przez nasze dzienniki poczty e-mail, co doprowadziło nas do podjęcia działań.

Ponieważ ten wniosek nadchodzi przez Angular, uważam, że traktujemy serwer jako API i powinniśmy używać protect_from_forgery with: :null_session. Jednak wydaje się, że protect_from_forgery with: :reset_session zapewnia nam tę samą rozdzielczość.

Nie chcę ślepo podłączać kodu tylko dlatego, że jest to zalecane, więc chciałbym poznać różnicę między tymi dwoma podejściami ochrony przed fałszerstwem. Kiedy powinienem używać jednego nad drugim i dlaczego miałbym preferować jego użycie?

Answer 1

podstawie moich interpretacji kodu, wydaje się, że:

• null_session powinien być stosowany w sterownikach API stylu, w którym nie mają zastosowania dla obiektu sesji. To brzmi jak odpowiednie rozwiązanie dla Twojej aplikacji Angular. Sesja wcześniejsza użytkownika (tj. Ustawiona przez inne tradycyjne kontrolery) pozostanie nienaruszona. Jest to również domyślne zachowanie, jeśli nie podasz opcji with do protect_from_forgery.
• reset_session jest dla tradycyjnych kontrolerów. Gdy sprawdzenie CSRF nie powiedzie się, informuje Rails, aby zdmuchnął sesję użytkownika i kontynuował obsługę żądania. To brzmi jak "tryb paranoidalny", w którym chcesz zalogować użytkownika z aplikacji, jeśli są jakieś dowody na ingerencję w żądanie.

Jeśli Twoja aplikacja Railsowa w ogóle nie korzysta z sesji, są one zamienne.

Jeśli jednak używasz sesji w niektórych częściach aplikacji, ale nie w innych (tj. W połączeniu z kontrolerami tradycyjnymi i interfejsami API), prawdopodobnie należy użyć null_session. W przeciwnym razie, jeśli użyjesz reset_session, żądanie API wykonane przez przeglądarkę spowoduje wylogowanie użytkowników z ich sesji przeglądarki.