我正在使用Rails开发Shopify应用程序,并且一直使用查询字符串来检测哪个商店正在访问它。这似乎很脆弱,因为用户可以更改网址以访问其他人的设置。Shopify Rails应用程序 - Querystring欺骗
下面是一个例子:
我点击的偏好上我的应用程序链接,并得到重定向到http://example-app.com/preferences?shop=example.myshopify.com并获得相关的商店设置的页面:example.myshopify.com
那么什么是停止用户将查询字符串更改为http://example-app.com/preferences?shop=notmystore.myshopify.com并登录到他们不拥有的商店?
我应该使用身份验证宝石(https://www.ruby-toolbox.com/categories/rails_authentication)并让每个用户创建用户名和密码以防止欺骗攻击吗?
你有一个Shopify应用程序,你开发,你试图保证? – Spencer
@SpencerNorman感谢您指出含糊之处。我已经添加了一个介绍段落来解释这一点。干杯! –