Questions tagged «rails-api»

我正在使用Rails API构建一个简单的api ，并希望确保我在这里正确。我正在使用devise来处理登录，并决定使用Devise的token_authenticatable选项，该选项会生成一个API密钥，您需要随每个请求发送该API密钥。 我将API与主干/牵线木偶的前端配对，并且通常想知道应该如何处理会话。我的第一个想法是只将api密钥存储在本地存储或cookie中，并在页面加载时检索它，但是从安全角度来看，关于存储api密钥的某些事情困扰着我。通过查找本地存储/ cookie或嗅探通过的任何请求，并无限期地模拟该用户来获取api密钥，并非容易吗？我目前正在每次登录时重置api密钥，但即使这样看起来也很频繁-每当您在任何设备上登录时，这意味着您将在其他设备上都注销，这很痛苦。如果我可以放弃此重置，我认为从可用性的角度来看它将有所改善。 我在这里可能是完全错误的（并希望我是），任何人都可以解释这种方式进行身份验证是否可靠吗？总体而言，我正在寻找一种方法，可以安全地使用户“登录”到API访问权限，而无需经常强制进行重新身份验证。

79 ruby-on-rails  api  authentication  devise  rails-api 

我正在写一个Rails 4应用程序，它将公开尚未开发的移动应用程序的API。用户将使用来自移动应用程序的电子邮件和密码进行身份验证。 虽然我已经找到了很多有关该主题的信息。很难分辨出什么是过时的或非最佳的。我已经读过关于HTTP基本身份验证（似乎不太安全）和基于HTTP令牌的身份验证的信息，但是我不确定如何将其与常规的电子邮件和密码身份验证结合使用（我正在使用Devise by方式）。 我只是想知道当前如何实现这一点的最佳实践，所以我一定会走正确的路。

78 ruby-on-rails  ruby-on-rails-4  rails-api