更好更簡單的Rails API認證解決方案

Question

我正在構建一個API，並且我被困在認證部分。我將嘗試解釋我有什麼和我想要實現的：

• 首先，API對公衆是封閉的，它只會在管理員的後端和第三方設備上使用公司。
• 我有一個叫會員模型，目前正在與設計用於驗證
• 我還使用STI 3個級別的用戶（使用慘慘的角色）

我想的是什麼來區分：

• 我嘗試了Rails的令牌認證，它工作但我害怕在每個Ajax請求中暴露令牌，我不知道我是否正確。
• 我也嘗試使用'/ token'路由來發布我的憑證並獲得令牌，但我面臨着更復雜的方法中的相同問題。 The link with the tutorial
• 我不想使用OAuth，因爲它不需要這種應用程序。

使用帶有ajax請求的令牌認證安全嗎？還是有更安全的方法來阻止人們訪問我的API？

Answer 1

令牌認證需要通過安全連接完成。 例如，如果您使用的是Heroku，則可以使用 的憑據獲取HTTPS網址。對此，內容 將被加密，因此通過API暴露JSON 的令牌是可以接受的。