在Rails中进行API身份验证的更好,更简单的解决方案

时间:2014-04-28 19:51:07

标签: ruby-on-rails api rest ruby-on-rails-4

我正在构建一个API,而且我被困在认证部分。我将尝试解释我拥有的和我想要完成的事情:

  • 首先,API不对公众开放,只会在管理员的后端和公司的第三方设备上使用。
  • 我有一个名为Member的模型,正在与Devise一起用于身份验证
  • 我还使用STI来区分3个级别的用户(使用CanCan作为角色)

我的想法:

  • 我尝试过Rails的Token身份验证,但它有效,但我害怕在每个Ajax请求中暴露令牌,我不知道我是不对。
  • 我还尝试使用' / token'发布我的凭据并获得令牌的路线,但我在更复杂的方法中遇到了同样的问题。 The link with the tutorial
  • 我不想使用OAuth,因为它对于那种应用程序来说是不必要的。

将此令牌认证与ajax请求一起使用是否安全,还是有更安全的方法来阻止人们访问我的API?

1 个答案:

答案 0 :(得分:0)

令牌认证需要通过安全连接完成。 例如,如果您使用的是Heroku,则可以使用 他们获得HTTPS网址的凭据。有了这个内容 将被加密,因此通过JSON公开令牌 通过API是可以接受的。

相关问题
最新问题