我计划通过将逻辑拆分为RESTful API并将视图拆分为单独的Javascript客户端来重构旧版Rails 2应用程序。 API本身将受oAuth2保护。这基本上是在这个问题上解释的第二个选项:
Separate REST JSON API server and client?
关于将oAuth与JS应用程序一起使用的安全性存在很多问题,主要关注的问题似乎是将访问令牌存储在客户端上是一个坏主意,因为它充当密码和有物理的人访问计算机可能会劫持用户的身份。我读过的一个可能的解决方案是每1小时左右使访问令牌到期,并使用存储在Yahoo的YQL上的刷新令牌在必要时请求新令牌。这对我来说不是一个好的解决方案,因为最后你需要再次使用一个令牌来访问YQL服务。
但最后,我们是否面临与使用持久会话时相同的问题?我的意思是,AFAIK是在浏览器打开/关闭时保持会话活动的常用方法(当你勾选“记住我”时)是生成一个与用户关联的令牌并将其存储在数据库和长期存在的cookie上。所以,任何有权访问此cookie的人都拥有会话的“密钥”。 AFAIK这是所有“大家伙”使用的方法。
我是对的?如果我,我们不是在担心我们无法控制的事情吗?当然,我所说的那些入侵对用户来说没有太大危害的应用程序,如社交网络,博客,论坛等。