我想用Rails 5创建一个JSON API,它将提供一个有角度的应用程序以及可能以后的移动应用程序。我不想在rails应用程序中包含任何html。我通常使用devise来处理常规rails应用程序中的用户创建和身份验证。我想实现一个符合OAuth2的流程,所以我发现了一个名为doorkeeper的gem。
我喜欢设计,因为它处理发送确认电子邮件和密码重置等。我希望看门人保持我的应用程序OAuth2兼容。
我的问题是OAuth2文档说试图不使用密码授予类型,但我无法为API所来自的同一服务器所服务的网站找到更好的替代方法。我是否应该仅为OAuth路由要求CSRF令牌以获取访问令牌以确保请求来自站点?我应该在角度应用程序中使用CSRF令牌整个时间与访问令牌一起使用吗?
我还应该设计处理访问令牌的发送吗?除密码授权外,其他流程如何工作?我还必须编辑设计以仅适应JSON请求并以实物形式进行响应。
另外我想实现JWT但是我仍然认为将令牌链接到会话ID是最好的,我知道JWT的目的会失败,但我认为使用JWT是有益的适应原生应用。
我确信现在想要设置并不是一件不寻常的事情,但我还没有找到一个连接设备,门卫和仅API设置的可靠演练。有没有人经历过这样的事情?