2014-04-28 59 views
1

我正在構建一個API,並且我被困在認證部分。我將嘗試解釋我有什麼和我想要實現的:更好更簡單的Rails API認證解決方案

  • 首先,API對公衆是封閉的,它只會在管理員的後端和第三方設備上使用公司。
  • 我有一個叫會員模型,目前正在與設計用於驗證
  • 我還使用STI 3個級別的用戶(使用慘慘的角色)

我想的是什麼來區分:

  • 我嘗試了Rails的令牌認證,它工作但我害怕在每個Ajax請求中暴露令牌,我不知道我是否正確。
  • 我也嘗試使用'/ token'路由來發布我的憑證並獲得令牌,但我面臨着更復雜的方法中的相同問題。 The link with the tutorial
  • 我不想使用OAuth,因爲它不需要這種應用程序。

使用帶有ajax請求的令牌認證安全嗎?還是有更安全的方法來阻止人們訪問我的API?

+0

有人嗎?我真的需要幫助。 –

回答

0

令牌認證需要通過安全連接完成。 例如,如果您使用的是Heroku,則可以使用 的憑據獲取HTTPS網址。對此,內容 將被加密,因此通過API暴露JSON 的令牌是可以接受的。