Utilizamos un proxy inverso nginx para alojar dos aplicaciones Rails bajo el mismo dominio (un /path conduce a otra aplicación 'secundaria').
La aplicación 'secundaria' que vive bajo una ruta consume las API REST de la aplicación 'principal' en el dominio con una aplicación de página única de javascript.
Actualmente no tenemos OAuth o cualquier configuración "adecuada" para proteger esos puntos finales. Usan la misma cookie para determinar quién es el usuario, pero CSRF sigue siendo un problema (todavía no estamos en la dirección).
¿Puedo solicitar el servidor al servidor un token CSRF de forma segura desde la aplicación Rails 'principal' y proporcionárselo a mi aplicación secundaria de una sola página para que envíe junto con cada solicitud?
Me parece seguro y seguro hasta que podamos implementar OAuth o similar, pero no soy un experto en seguridad de ninguna manera.
example.com => provides API, app #1
example.com/special_path => routes to app #2, consumes app #1's API, uses same cookie to auth