Q 레일스 보안

페이스북 그룹 김지태님 질문입니다. 안녕하세요, 루비 온 레일즈로 프로젝트 진행 중인 학생입니다. 보안에 관련 된 질문 하나 드립니다. 현재 웹 및 API 서버로 Rails를 사용하고 있는데, 권한에 대한 판단을 세션 등을 통해 확인하고, 알맞는 동작을 수행하도록 하고 있습니다. 그런데 POST 등을 통해 외부에서 서버에 접근 시에 보통 어떤 식으로 처리하는 지 궁금합니다. 그리고 현재 외부에서 접근 시에 임시로 skip_before_filter :verify_authenticity_token 설정을 해서 가능하게 했습니다. 보안에 매우 취약할 것 같은데, 이 부분에 대해선 어떤 방식이 좋을까요? 웹에서만 처리하다가 API까지 다루다보니 궁금한 점이 많이 생기네요. 감사합니다. 예를 들면, 회원만 게시물을 읽거나 쓸 수 있도록 하는 것이나 회원 정보 수정 삭제 등 여러 권한이 필요한 기능들입니다. 이에 대한 외부 접근 처리를 어떻게 하면 좋은지 아이디어를 듣고 싶습니다.
by Wagurano 149 
목록보기

A 답변 목록

0 그냥 devise gem으로 before_action:authenticate_user? 했던 것 같은데, 더 좋은 방법은 밑에 다른 분들이 달아주실거에요
Wagurano님이 2년 이상전에 작성함.
0 외부(안드로이드 등)에서 POST로 접근할 때 문제인데, 구현한다면 하겠지만 효율적인 방법이 궁금하네요 ^^
Wagurano님이 2년 이상전에 작성함.
0 떤 규모인지 모르겠지만 OAuth와 SSL 사용하시면 충분히 대응될 것 같습니다(http://bcho.tistory.com/807).
Wagurano님이 2년 이상전에 작성함.