Lack of CSRF token, omniauth-identity with rails4.0

Lack of CSRF token w/ Rails4

omniauth-identity と rails4.0(or higher)で使う場合

on_login, on_registration にactionとviewを用意して、そこでheadにcsrf-tokenを表示させないとsessionが永続化しないので用心。actionとview用意する方法めんどいので、csrf-tokenねじ込む方法があればいいんだけど、ぱっとはわからなくてpull request出来なかった。

omniauth本体でdeveloper strategyの場合も同様にcsrf-tokenつかないので注意。

Adding authenticity token so session will persist

oauthで別のサーバーにpostをする場合、そもそもcsrf関係ないので、返ってきたcredentialチェックすればいいのに対し、developer strategyやomniauth-identityは自分自身のroutingのちょっと先にpostするので、これが問題になる。omniauth-identityにissue書いても誰も反応しないので、誰もメンテナンスしてないんじゃないかなーと思った。まさかのomniauthよりdeviseがヨイのではだけど、deviseモチベーション的にも積極的には使いたくない…

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中