rails Devise http 认证手机

Question

我正在尝试在使用 Devise gem 的 rails 应用程序上向我的服务器 ruby 验证 android 客户端应用程序。 但是我已经尝试过 http 身份验证，并发布身份验证请求，服务器只对任何给定的用户名/密码响应 200。

我已经在用户 model 处设置了 config.http_authenticable = true 和：database_authenticable ...

我会发布我的身份验证方法，所以你们可以看看它......

public static boolean authenticate(User user, String verb) throws IOException, JSONException
{

    DefaultHttpClient httpClient = new DefaultHttpClient();
    HttpPost httpPost = new HttpPost(verb);

     CredentialsProvider credProvider = new BasicCredentialsProvider();
     credProvider.setCredentials(new AuthScope(AuthScope.ANY_HOST, AuthScope.ANY_PORT),
            new UsernamePasswordCredentials(user.getMail(), user.getPassword()));

    httpClient.setCredentialsProvider(credProvider);

    List<NameValuePair> nameValuePairs = new ArrayList<NameValuePair>();  
    nameValuePairs.add(new BasicNameValuePair("email", user.getMail()));  
    nameValuePairs.add(new BasicNameValuePair("password", user.getPassword()));  
    httpPost.setEntity(new UrlEncodedFormEntity(nameValuePairs));

    HttpResponse httpResponse = httpClient.execute(httpPost);


    int statusCode = httpResponse.getStatusLine().getStatusCode();
    //JSONObject resp = null;

     if (statusCode < 200 || statusCode >= 300){
        throw new IOException("Error");
     }


    return true;
}

Answer 1

如果服务器响应 200，这听起来确实像服务器端配置，因此您应该使用桌面 web 浏览器和 Fiddler 之类的工具仔细检查您的 URL 是否确实安全，这样您就可以看到所有内容。 特别注意身份验证标头和状态代码； 至少你应该从服务器看到一个 401 来启动事情。

您还可以在您的设备上打开 Apache HTTP 的诊断，它还会将标头和内容转储到 LOGCAT，因此您可以确保一切正常。

检查 WWW-Autnenticate 标头的内容，它将指定接受哪些方案。 客户端将重新请求 URL，但会将授权 header 放入其请求中。

简而言之，确保你的服务器端在你的应用程序之外工作，在一个更容易排除故障的环境中。

客户端，看起来您只是在激活 BASIC 身份验证（每个人都停止使用它），并且您的端点可能只需要 DIGEST 或 NTLM 或 KERBEROS 或BASIC 以外的任何其他身份验证方案。 由于您似乎没有为 SSL 设置，所以至少要使用 DIGEST，否则您有明文问题！

使用表单变量（用于身份验证）仅适用于应用程序级别，而不是 HTTP 标头（WWW-Autnenticate，授权）和状态代码（401、403）用于身份验证过程的协议级别。 同样，如果您没有为仅 SSL 配置您的服务器（和客户端），则会出现明文问题。