Я разрабатываю приложение Shopify с Rails и использую строку запроса, чтобы определить, к какому магазину обращается к ней. Это кажется уязвимым, поскольку пользователи могут изменять URL-адрес для доступа к чужим настройкам.Shopify Rails App - Querystring Spoofing
Вот пример:
я нажимаю на ссылку Настройки на мое приложение и получить перенаправление на http://example-app.com/preferences?shop=example.myshopify.com и получить страницу настроек, относящихся к магазину: example.myshopify.com
Так что тут остановить пользователя от изменения запроса до http://example-app.com/preferences?shop=notmystore.myshopify.com и войти в магазин, который у них нет?
Должен ли я использовать аутентификационный камень (https://www.ruby-toolbox.com/categories/rails_authentication) и сделать каждый пользователь для создания имени пользователя и пароля для предотвращения подмены атак?
У вас есть приложение для покупки, которое вы разработали, которое вы пытаетесь обеспечить? – Spencer
@SpencerNorman благодарит за указание на двусмысленность. Я добавил параграф, чтобы объяснить это. Ура! –