可以使用会话cookie保护Rails API

时间:2018-06-21 10:50:23

标签: ruby-on-rails devise

我有一个问题。我有两个Rails网站,站点A和站点B。 站点A是一个新闻网站,具有设备作为身份验证系统,并使用具有单点登录功能的Disqus评论内容。

网站B是另一个新闻网站,没有任何用户身份验证系统,并且使用Disqus对其内容进行评论,但未进行单次登录。

我想允许站点A的用户通过站点B上的Disqus使用SSO。 Disqus SSO使用此脚本

def get_disqus_sso(user)
    # create a JSON packet of our data attributes
    data =  {
      'id' => user['id'],
      'username' => user['username'],
      'email' => user['email']
      #'avatar' => user['avatar'],
      #'url' => user['url']
    }.to_json

    # encode the data to base64
    message  = Base64.encode64(data).gsub("\n", "")
    # generate a timestamp for signing the message
    timestamp = Time.now.to_i
    # generate our hmac signature
    sig = OpenSSL::HMAC.hexdigest('sha1', DISQUS_SECRET_KEY, '%s %s' % [message, timestamp])

    # return a script tag to insert the sso message
    return "<script type=\"text/javascript\">
        var disqus_config = function() {
            this.page.remote_auth_s3 = \"#{message} #{sig} #{timestamp}\";
            this.page.api_key = \"#{DISQUS_PUBLIC_KEY}\";
        }
    </script>"
end

当然,在站点B上,我没有任何用户,请购买我想在站点A上创建一个私有API,该API返回登录用户"#{message} #{sig} #{timestamp}\"

是否可以创建一个API,该API在成功完成身份验证后使用Devise创建的会话cookie作为身份验证方法来返回某些内容?

1 个答案:

答案 0 :(得分:0)

我认为使用jwt是可能的。流程如下。 (仅在子域中进行了测试)

user uses siteA(stores generated jwt token in a cookie) --> siteB uses the jwt token in cookie --> sends token to siteA for user data --> gets user data.

jwt认证example

注释:仅适用于子域,并且别忘了对cookie签名以防止篡改。