InvalidAuthenticityToken in Entwickeln::SessionsController#destroy (sign out nach bereits abgemeldet)

Ich bin mit Entwickeln 3.2.0 für die Authentifizierung und fand ein Problem wenn ich den folgenden Code:

  • tab 1: Zeichen in app
  • tab 2: gehen Sie zu einer beliebigen Seite in der app
  • tab 2: Zeichen aus (Erfolg)
  • tab 1: Zeichen aus (Fehler - siehe Ausnahme unten)

Ausnahme ausgelöst:

ActionController::InvalidAuthenticityToken in Entwickeln::SessionsController#zerstören

In der Entwicklung log sehe ich:

Nicht überprüfen können CSRF token authenticity

Und die obersten drei Zeilen der stack-trace sind:

ActionController::InvalidAuthenticityToken (ActionController::InvalidAuthenticityToken):
  actionpack (4.0.0) lib/action_controller/metal/request_forgery_protection.rb:163:in `handle_unverified_request'
  actionpack (4.0.0) lib/action_controller/metal/request_forgery_protection.rb:170:in `handle_unverified_request'
  devise (3.2.0) lib/devise/controllers/helpers.rb:198:in `handle_unverified_request'

Wie kann ich sicherstellen aufeinander Zeichen outs nicht zu einer Ausnahme?

  • Seine nicht aufeinanderfolgenden Zeichen aus, die Sie versuchen, melden Sie sich, wenn Sie sich Abmelden. also warum nicht melden Sie sich Benutzer von tab1 , wenn Sie sich Abmelden aus tab2
  • Ich bin nicht sicher, warum Sie sagen, dass dies nicht eine aufeinander folgende Zeichen aus. Aufeinander Folgen einander. Wenn ich versuche, melden Sie sich in einem tab nach der Unterzeichnung in die andere, das ist sukzessive so weit ich bin besorgt. Der Punkt ist aber, dass dies eine sehr vernünftige Aktion, die die Nutzer ergreifen können. Nur ein Beispiel ist, dass ein Benutzer öffnet mehrere tabs auf einer einzigen Seite, und wenn Sie melden sich in einem tab, und dann gehen Sie sukzessive schließen Sie die anderen Registerkarten, können Sie versuchen, melden Sie sich wieder (durch den unterzeichneten-im Aussehen von allen anderen Reitern).
  • jetzt verstehe ich es. Ja, Entwickeln haben sollte behandelt den logout-Szenario ohne zu werfen fiesen Fehler. Aber wieder, Sie können sagen, das ist, was wir nennen customization. KirtiThorat die Problemumgehung ist wahrscheinlich eine bessere Lösung Entwickeln, bis Sie implementiert.
  • Finden Sie in der Ausgabe eingereicht von @freddyrangel github.com/plataformatec/devise/issues/2934 auf Entwickeln Github-Repo. Sie können an der Diskussion teilnehmen, durch die Unterstützung das Problem.
InformationsquelleAutor user664833 | 2014-03-18
  1. 10

    Hier ist, was passiert,

    Wenn Sie zunächst abgemeldet aus dem tab-2 -, Sitzungs-und authenticity_token im Zusammenhang mit dem angemeldeten Benutzer zerstört wurde.
    Wenn Sie versuchen, melden Sie sich bei tab 1, Entwickeln Sie wieder versucht zu zerstören, die Sitzung mit Hilfe des authenticity_token, die zerstört wurde, auf der Registerkarte 2.

    Daher erhalten Sie die Fehlermeldung ActionController::InvalidAuthenticityToken so entwickeln, misslingt die Authentifizierung mit dem gegebenen authenticity_token.

    Erhalten Sie nur eine einmalige Sitzung pro anmelden, wenn das zerstört wird werden Sie haben nichts zu zerstören wieder.

    BEARBEITEN

    Dieses Verhalten nicht vorgesehen ist, Entwickeln. Wenn Sie möchten, implementieren Sie ein solches Verhalten müssen Sie das überschreiben SessionsController.

    Erstellen Sie eine sessions_controller.rb Datei in app/controllers/users Verzeichnis

    class Users::SessionsController < Devise::SessionsController
  prepend_before_filter :verify_user, only: [:destroy]

  private
  ## This method intercepts SessionsController#destroy action 
  ## If a signed in user tries to sign out, it allows the user to sign out 
  ## If a signed out user tries to sign out again, it redirects them to sign in page
  def verify_user
    ## redirect to appropriate path
    redirect_to new_user_session_path, notice: 'You have already signed out. Please sign in again.' and return unless user_signed_in?
  end
end

    Update routes.rb 

    devise_for :users, :controllers => { :sessions => "users/sessions" }
    • Danke. Ich verstehe warum das passiert, aber ich würde gerne wissen, , wie es funktionieren ohne das auslösen einer exception. Zum Beispiel, wenn Sie tun die gleiche Sache auf Twitter, oder praktisch jede andere Website, die alle aufeinanderfolgenden log-out-versuche erfolgreich sind - soweit nicht das auslösen einer exception, und machen den Benutzer glauben, dass Sie haben sich gerade abgemeldet (unabhängig von der Tatsache, dass waren Sie eigentlich schon abgemeldet).
    • Siehe meine aktualisierte Antwort.
    • Ich denke, es wäre besser, wenn der Nutzer eine flash-Meldung wie z.B. "Sie haben bereits unterschrieben, bitte erneut einloggen" und dann umleiten auf die login-Seite statt root_path.
    • Das klingt wie eine gute Idee. Es zu den zusätzlichen code.
    • Sieht gut aus. Sie (oder @freddyrangel) vorlegen sollten einen pull-request für diese Problemumgehung zu Entwickeln.
    InformationsquelleAutor Kirti Thorat
  2. 5

    Eine einfache Lösung für dieses problem könnte auch werden, so dass Zeichen outs über BEKOMMEN, anstatt diese zu LÖSCHEN. In entwickeln.rb können Sie einfach ändern:

    # The default HTTP method used to sign out a resource. Default is :delete.
config.sign_out_via = :get
    • Hat nicht funktioniert in Rails 4.1.10, Erarbeiten >= 3.3.0
    • nach den neuesten Begehen, es scheint nicht, wie sich etwas geändert für die Initialisierung Datei. Sind Sie sicher, dass das nicht eine Folge eines anderen Problems? github.com/plataformatec/devise/blob/...
    InformationsquelleAutor Peleg
  3. 2

    Vergangenheit diese im layout:
    <%= csrf_meta_tags %>

    InformationsquelleAutor vidur punj
  4. 1

    Können Sie ändern die Strategie von verify csrf token.

    In rails 3 ist die default-Strategie, wenn Sie überprüfen, gescheitert ist, ist die Rückgabe einer null-Sitzung. In rails 4 geändert wurde der Strategie, die in application_controller, um wieder eine Ausnahme.

    Ich dieses Problem lösen, ändern in meinem application_controller.rb

    class ApplicationController < ActionController::Base
-    protect_from_forgery, with: :exception
+    protect_from_forgery

    Diese Weise, verwenden Sie die Standard-Strategie.

    InformationsquelleAutor Nícolas Lazarte Kaqui
  5. 1

    Dieser Fehler wurde behoben in devise 3.3.0.

    InformationsquelleAutor user664833
  6. 0

    Kirti ist genau richtig. Ich hatte das problem gestern auch, aber mit einem custom-authentication-Lösung. Wenn das wirklich ein problem, das Sie beheben wollen, könnten Sie herausfinden, wie zu überschreiben Entwickeln, die signout-Aktion, und fügen Sie skip_before_filter :verify_authenticity_token für diese Aktion.

    • Ja, ich weiß, dass ich könnte, überschreiben Entwickeln, die signout-Aktion, aber ich bin überrascht, dass diese nicht bereits korrekt abgewickelt Entwickeln, so ist es nicht ungewöhnlich, dass user-Verhalten. Es ist für mich überraschend, dass Entwickeln lassen würde, diese lose Ende für die Entwickler zu beheben. Wie ist dieses Verhalten wünschenswert, in irgendeinem Weg?
    • Sie machen einen guten Punkt. Ich würde sogar senden Sie eine pull-Anforderung tatsächlich.
    • Danke - bitte nicht. I. e. wenn der Benutzer bereits unterzeichnet, dann umgehen Sie die üblichen code und machen es scheinen, als ob der Benutzer ist nun abgemeldet.
    • wenn Sie eine Problemumgehung für diese dann bitte senden Sie eine pull-Anfrage. Diese Standardeinstellung unerwünschte Verhalten muss vergehen
    • Die ich eingereicht habe, ein Problem auf github zu sehen, ob es vorher thematisiert worden sind. Ich habe das Gefühl, dass das Gerät piepst, sind wirklich groß auf Sicherheit, so dass Sie möglicherweise nicht halten zu versuchen, etwas, das möglicherweise oder möglicherweise nicht die Sicherheit gefährden.
    • Komisch, dass das Gerät piepst, wäre wirklich groß auf Sicherheit 😉 Der Grund, warum Sie es machen, ist es so, dass Hacker sich nicht anmelden können, andere Menschen aus der Ferne.

    InformationsquelleAutor freddyrangel
  7. 0

    Wenn Sie immer noch das Problem, wie ich im Rails 5 und devise 4.4.1 in der app/controllers/application_controller.rb ändern 

    protect_from_forgery with: :exception

    zu

    protect_from_forgery with: :null_session

    hoffe, es hilft.

    InformationsquelleAutor etoundi1er
Schreibe einen Kommentar