我爲我的Rails應用程序發佈了一個API,並使用Oauth2保護它。我已經設置了Doorkeeper來處理Oauth2提供程序,並且它工作得很好。我可以按照教程here對一個會話進行身份驗證和設置客戶端。我想發佈一個Gem讓人們通過API訪問他們的賬戶,但我只希望他們必須驗證一次應用程序。所以,我有幾個問題:Rails API - 我需要存儲我的Oauth2訪問令牌嗎?
- 我是否需要存儲訪問令牌來完成此操作?大多數API要求你存儲密鑰和祕密,但不是一個令牌。
- 如果確實需要存儲它,我如何從該存儲值實例化一個新的令牌?
- 如果我需要存儲它,是否有一個問題,安全方面,有一個非到期的令牌?如果是這樣,我應該啓用刷新令牌嗎?
一般來說,API是否有更好/更標準的方法?用戶將能夠創建可發送的訂單(即涉及金錢),所以安全性在這裏是一個相當重要的問題。
您已經正確理解了。客戶=資源所有者。我更關心的是安全問題。我的理解是簡單的基於令牌的身份驗證並不是那麼安全,並且人們似乎發誓Oauth。在其他需要較低安全性的應用程序中,我使用Devise的令牌認證取得了巨大成功。 – ideaoforder 2012-07-10 17:55:09