我想重构我的Ruby on Rails应用程序并将其分为两部分。
当前,它是一个单片应用程序,包含用户注册/身份验证,资源管理,通过邮件发送报告和丰富的UI。通常,应用程序的页面是带有小部件的容器;每个小部件都使用一些内部API从服务器获取数据,该内部API向客户端提供JSON格式的数据。这些小部件太多,它们的API是应用程序的重要组成部分。我想将该API提取到单独的应用程序中。主应用程序将继续在 www.app.com 地址上满足用户请求,API将在 api.app.com
中可用。问题:如何保护API应用并防止未经授权的访问?主应用程序使用会话(带有cookie)。现在,在处理对API的请求时,将验证这些会话。由于它将是一个驻留在另一台服务器上的新应用程序,因此我不确定是否可以验证这些会话。那有什么选择呢?使用JWT令牌还是?您能否分享您的经验示例?