APIセキュリティ対策

[hirokoji]

くみちょうの指摘あった通り、 APIでPull/Put/Deleteメソッドを使う必要性がでてきたので、 セキュリティ対策を考える必要がある。

とりあえず、以下の対策をRails/Grapeで実装方法を調べます。 ・API key発行方法 ・SQLインジェクション対策

他に必要なセキュリティ対策、 及び、知っているRailsでのセキュリティ対策方法があったら、共有してくださいな

[xkumiyu]

関連issue #36

rails側でSQLインジェクション対策はされているので、 モデルを扱うときプレースフォルダを使う。

http://qiita.com/sutetotanuki/items/5eda6bbb5532dd64529a

[hirokoji]

API keyの実装方法だけど、 ほとんどの記事ではtokenを渡す実装しているみたい。 同様に実装して、 JavaScript側ではTokenを投げる際はブラウザ経由でソースコード見てもわからない形(.bashrcに環境変数として登録するとか、htdocs以外の領域に変数と値を登録して、それを参照させること。)で実装するのはどうかな？

参考サイトは以下、 http://qiita.com/yakiimo23/items/ee0ebf41232d6ea70512 https://mikecoutermarsh.com/rails-grape-api-key-authentication/