Rails, проверка подлинности, проблема CSRF

Я использую одностраничное приложение, использующее Rails. При входе в систему и выходе из нее контроллеры Devise вызывается с помощью ajax. Проблема, которую я получаю, заключается в том, что когда я 1) подписываюсь в 2) выходим, тогда вход в систему снова не работает.

Я думаю, что это связано с токеном CSRF, который получает reset, когда я выхожу (хотя это не должно быть afaik), и поскольку это одна страница, старый токен CSRF отправляется в xhr-запросе, таким образом, сброс сеанса.

Чтобы быть более конкретным, это рабочий процесс:

Войти
Выйти
Войдите (успешно 201. Однако печатает WARNING: Can't verify CSRF token authenticity в журналах сервера)
Последующий запрос ajax сбой 401 неавторизованный
Обновите сайт (на данный момент CSRF в заголовке страницы изменяется на что-то еще)
Я могу войти, он работает, пока я не попытаюсь выйти и снова.

Любые подсказки очень ценятся! Дайте мне знать, если я могу добавить более подробную информацию.

Ответ 1

Jimbo сделал потрясающую работу, объясняющую "почему" за проблемой, с которой вы столкнулись. Есть два подхода, которые вы можете предпринять для решения проблемы:

(Как рекомендовано Jimbo) Override Devise:: SessionController для возврата нового токена csrf:

class SessionsController < Devise::SessionsController
  def destroy # Assumes only JSON requests
    signed_out = (Devise.sign_out_all_scopes ? sign_out : sign_out(resource_name))
    render :json => {
        'csrfParam' => request_forgery_protection_token,
        'csrfToken' => form_authenticity_token
    }
  end
end

И создайте обработчик успеха для вашего запроса sign_out на стороне клиента (вероятно, вам нужны некоторые настройки на основе вашей установки, например GET vs DELETE):

signOut: function() {
  var params = {
    dataType: "json",
    type: "GET",
    url: this.urlRoot + "/sign_out.json"
  };
  var self = this;
  return $.ajax(params).done(function(data) {
    self.set("csrf-token", data.csrfToken);
    self.unset("user");
  });
}

Это также предполагает, что вы включаете токен CSRF автоматически со всеми запросами AJAX с чем-то вроде этого:

$(document).ajaxSend(function (e, xhr, options) {
  xhr.setRequestHeader("X-CSRF-Token", MyApp.session.get("csrf-token"));
});

Гораздо проще, если это подходит для вашего приложения, вы можете просто переопределить Devise::SessionsController и переопределить проверку маркера с помощью skip_before_filter :verify_authenticity_token.

Ответ 2

Я тоже столкнулся с этой проблемой. Здесь многое происходит.

TL; DR. Причина отказа заключается в том, что токен CSRF связан с вашим сеансом сервера (у вас есть сеанс сервера, независимо от того, вошли ли вы в систему или вышли из системы). Маркер CSRF включен на страницу DOM на каждой странице загрузки. При выходе из системы ваша сессия reset и не имеет токена csrf. Как правило, выход из системы перенаправляется на другую страницу/действие, что дает вам новый токен CSRF, но поскольку вы используете ajax, вам нужно сделать это вручную.

Вам необходимо переопределить метод Devise SessionController:: destroy, чтобы вернуть новый токен CSRF.
Затем на стороне клиента вам нужно установить обработчик успеха для вашего выхода XMLHttpRequest. В этом обработчике вам нужно взять этот новый токен CSRF из ответа и установить его в своем dom: $('meta[name="csrf-token"]').attr('content', <NEW_CSRF_TOKEN>)

Подробное пояснение Скорее всего, вы получили protect_from_forgery в вашем файле ApplicationController.rb, из которого наследуются все ваши другие контроллеры (это довольно часто, как мне кажется). protect_from_forgery выполняет проверки CSRF для всех запросов, не связанных с GET HTML/Javascript. Поскольку Devise Login является POST, он выполняет проверку CSRF. Если CSRF Check завершается с ошибкой, то текущий сеанс пользователя очищается, то есть регистрирует пользователя, потому что сервер принимает на себя атаку (что является правильным/желаемым поведением).

Итак, предполагая, что вы начинаете в состоянии выхода из системы, вы загружаете новую страницу и никогда не перезагружаете страницу:

При рендеринге страницы: сервер вставляет в страницу токен CSRF, связанный с вашим сеансом сервера. Вы можете просмотреть этот токен, выполнив следующее из консоли javascript в своем браузере $('meta[name="csrf-token"]').attr('content').
Затем вы регистрируетесь через XMLHttpRequest: Ваш токен CSRF остается неизменным в этот момент, поэтому токен CSRF на вашем сеансе по-прежнему совпадает с тем, который был вставлен на страницу. За кулисами, на стороне клиента, jquery-ujs прослушивает xhr и устанавливает заголовок "X-CSRF-Token" со значением $('meta[name="csrf-token"]').attr('content') для вас автоматически (помните, что это был токен CSRF, установленный на шаге 1, с помощью разъединить). Сервер сравнивает набор токенов в заголовке с помощью jquery-ujs и тот, который хранится в вашей информации о сеансе, и они совпадают, чтобы запрос удался.
Затем вы выходите через XMLHttpRequest:. Сбрасывает сеанс, дает вам новый сеанс без токена CSRF.
Затем вы снова регистрируетесь через XMLHttpRequest: jquery-ujs вытаскивает токен CSRF со значения $('meta[name="csrf-token"]').attr('content'). Это значение по-прежнему является вашим токеном OLD CSRF. Он принимает этот старый токен и использует его для установки "X-CSRF-токена". Сервер сравнивает это значение заголовка с новым токеном CSRF, который он добавляет к вашему сеансу, который отличается. Это различие приводит к сбою protect_form_forgery, который выдает WARNING: Can't verify CSRF token authenticity и сбрасывает ваш сеанс, который регистрирует пользователя.
Затем вы создаете другое XMLHttpRequest, для которого требуется зарегистрированный пользователь: В текущем сеансе нет зарегистрированного пользователя, поэтому devolution возвращает 401.

Обновление: 8/14 Выйти из системы не дает вам новый токен CSRF, перенаправление, которое обычно происходит после выхода из системы, дает вам новый токен csrf.

Ответ 3

Мой ответ сильно зависит от обоих @Jimbo и @Sija, однако я использую соглашение о разработке/углов, предложенное в Rails CSRF Protection + Angular.js: protect_from_forgery заставляет меня чтобы выйти из POST, и немного разработал мой блог, когда я изначально это сделал. У этого есть метод на контроллере приложения для установки файлов cookie для csrf:

after_filter  :set_csrf_cookie_for_ng

def set_csrf_cookie_for_ng
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
end

Итак, я использую формат @Sija, но используя код из этого более раннего SO-решения, даю мне:

class SessionsController < Devise::SessionsController
  after_filter :set_csrf_headers, only: [:create, :destroy]

  protected
  def set_csrf_headers
    cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?  
  end
end

Для полноты, так как мне понадобилось пару минут, чтобы разобраться в этом, я также хочу отметить, что вам нужно изменить конфигурацию /routes.rb, чтобы объявить, что вы переопределили контроллер сеансов. Что-то вроде:

devise_for :users, :controllers => {sessions: 'sessions'}

Это также было частью большой очистки CSRF, которую я сделал в своем приложении, что может быть интересно другим. сообщение в блоге здесь, другие изменения включают в себя:

Спасение от ActionController:: InvalidAuthenticityToken, что означает, что если что-то не синхронизируется, приложение будет исправлять себя, а не пользователю, нуждающемуся в очистке файлов cookie. Поскольку вещи стоят в рельсах, я думаю, что ваш контроллер приложения будет дефолт:

protect_from_forgery with: :exception

В этой ситуации вам тогда понадобится:

rescue_from ActionController::InvalidAuthenticityToken do |exception|
  cookies['XSRF-TOKEN'] = form_authenticity_token if protect_against_forgery?
  render :error => 'invalid token', {:status => :unprocessable_entity}
end

У меня также было некоторое горе с условиями гонки и некоторыми взаимодействиями с тайм-аут-модулем в Devise, о чем я прокомментировал дальше в сообщении в блоге. Короче говоря, вам следует рассмотреть возможность использования active_record_store, а не cookie_store, и быть осторожным о выдаче параллельных запросов рядом с sign_in и sign_out действиями.

Ответ 4

Это мое взятие:

class SessionsController < Devise::SessionsController
  after_filter :set_csrf_headers, only: [:create, :destroy]
  respond_to :json

  protected
  def set_csrf_headers
    if request.xhr?
      response.headers['X-CSRF-Param'] = request_forgery_protection_token
      response.headers['X-CSRF-Token'] = form_authenticity_token
    end
  end
end

И на стороне клиента:

$(document).ajaxComplete(function(event, xhr, settings) {
  var csrf_param = xhr.getResponseHeader('X-CSRF-Param');
  var csrf_token = xhr.getResponseHeader('X-CSRF-Token');

  if (csrf_param) {
    $('meta[name="csrf-param"]').attr('content', csrf_param);
  }
  if (csrf_token) {
    $('meta[name="csrf-token"]').attr('content', csrf_token);
  }
});

который будет обновлять метатеги CSRF каждый раз, когда вы возвращаете заголовок X-CSRF-Token или X-CSRF-Param через запрос ajax.

Ответ 5

После того, как рыть на источник Уорден, я заметил, что установка sign_out_all_scopes на false остановки Warden сбрасывались всю сессию, поэтому маркер CSRF сохраняется между выходами знака.

Связанное обсуждение проблемы разработчика Devise: https://github.com/plataformatec/devise/issues/2200

Ответ 6

Я просто добавил это в мой файл макета, и он работал

    <%= csrf_meta_tag %>

    <%= javascript_tag do %>
      jQuery(document).ajaxSend(function(e, xhr, options) {
       var token = jQuery("meta[name='csrf-token']").attr("content");
        xhr.setRequestHeader("X-CSRF-Token", token);
      });
    <% end %>

Ответ 7

Проверьте, включили ли вы это в файл application.js

//= требуется jquery

//= требуется jquery_ujs

Причиной этого является jquery-rails gem, который по умолчанию автоматически устанавливает токен CSRF для всех запросов Ajax, для этих двух

Ответ 8

В моем случае, после входа в систему пользователя, мне нужно было перерисовать меню пользователя. Это сработало, но я получил ошибки подлинности CSRF при каждом запросе на сервер, в том же разделе (без обновления страницы, конечно). Выше решения не работали, так как мне нужно было отобразить js-представление.

Я сделал это, используя Devise:

приложение/контроллеры/sessions_controller.rb

   class SessionsController < Devise::SessionsController
      respond_to :json

      # GET /resource/sign_in
      def new
        self.resource = resource_class.new(sign_in_params)
        clean_up_passwords(resource)
        yield resource if block_given?
        if request.format.json?
          markup = render_to_string :template => "devise/sessions/popup_login", :layout => false
          render :json => { :data => markup }.to_json
        else
          respond_with(resource, serialize_options(resource))
        end
      end

      # POST /resource/sign_in
      def create
        if request.format.json?
          self.resource = warden.authenticate(auth_options)
          if resource.nil?
            return render json: {status: 'error', message: 'invalid username or password'}
          end
          sign_in(resource_name, resource)
          render json: {status: 'success', message: '¡User authenticated!'}
        else
          self.resource = warden.authenticate!(auth_options)
          set_flash_message(:notice, :signed_in)
          sign_in(resource_name, resource)
          yield resource if block_given?
          respond_with resource, location: after_sign_in_path_for(resource)
        end
      end

    end

После этого я сделал запрос на действие контроллера #, которое перерисовывает меню. И в javascript я модифицировал X-CSRF-Param и X-CSRF-токен:

Приложение/просмотров/утилиты/redraw_user_menu.js.erb

  $('.js-user-menu').html('');
  $('.js-user-menu').append('<%= escape_javascript(render partial: 'shared/user_name_and_icon') %>');
  $('meta[name="csrf-param"]').attr('content', '<%= request_forgery_protection_token.to_s %>');
  $('meta[name="csrf-token"]').attr('content', '<%= form_authenticity_token %>');

Я надеюсь, что это полезно для кого-то в той же ситуации js:)

Ответ 9

Моя ситуация была еще проще. В моем случае все, что я хотел сделать, это то, что: если человек сидит на экране с формой и время его сеанса истекло (разработайте тайм-аут сеанса), обычно, если он нажимает кнопку Отправить в этот момент, Devise возвращает его обратно на экран входа в систему. Ну, я не хотел этого, потому что они теряют все свои данные формы. Я использую JavaScript для перехвата отправки формы, Ajax вызывает контроллер, который определяет, больше ли пользователь не вошел в систему, и если это так, я создаю форму, где они повторно вводят свой пароль, и я заново аутентифицирую их (bypass_sign_in в контроллере) используя вызов Ajax. Тогда исходная форма отправки разрешается продолжить.

Работал отлично, пока я не добавил protect_from_forgery.

Итак, благодаря приведенным выше ответам все, что мне действительно нужно, было в моем контроллере, где я снова регистрирую пользователя (bypass_sign_in). Я просто установил переменную экземпляра для нового токена CSRF:

@new_csrf_token = form_authenticity_token

и затем в .js.erb, который был обработан (так как снова это был вызов XHR):

$('meta[name="csrf-token"]').attr('content', '<%= @new_csrf_token %>');
$('input[type="hidden"][name="authenticity_token"]').val('<%= @new_csrf_token %>');

Вуаля. Моя страница формы, которая не была обновлена и поэтому была привязана к старому токену, теперь содержит новый токен из нового сеанса, который я получил от входа в систему моего пользователя.

Ответ 10

в ответ на комментарий @sixty4bit; если вы столкнулись с этой ошибкой:

Unexpected error while processing request: undefined method each for :authenticity_token:Symbol`

заменить

response.headers['X-CSRF-Param'] = request_forgery_protection_token

response.headers['X-CSRF-Param'] = request_forgery_protection_token.to_s