我有2个Rails应用程序都需要访问第三方API。只有一个应用程序在我的控制之下,另一个是独立的,超出了我的控制范围。另一个应用程序使用OAuth来获取令牌并处理请求。我想以某种方式背负该应用程序的OAuth令牌,但我需要一些方法将其安全地传输到我的应用程序。我同意单独的应用程序,这不是问题,假设我们可以找到一个安全且尽可能轻松的解决方案。
最大的问题是这两个应用程序都存在于同一页面上(一个显示整个页面,而我控制下的一个应用程序只负责一些AJAX请求)。这就是为什么我不能再次授权,我的AJAX专用应用程序没有登录界面,只需要站在主应用程序的肩膀上。
现在,我想不出一个不涉及在HTML源代码中传递不安全令牌的解决方案,这使得我的AJAX应用程序容易受到攻击。另外,我想避免让Rails应用程序创建路由来通过他们的服务器来管理我的AJAX请求。
如何让我的AJAX专用Rails应用程序使用主Rails应用程序的OAuth的任何建议将不胜感激。感谢。
答案 0 :(得分:0)
令牌所有者是否可以为您创建只读数据库帐户?
也许,该网站的所有者,您也可以使用OAuth策略? (这可能会产生很大的开销,但它会确保令牌的安全性)