如何保护 API 中的用户创建等基本方法

Question

我正在学习如何使用 Rails 开发 API，但我找不到如何保护用户创建等基本方法。假设我有一个 Rails 后端 API 和一个前端移动应用程序。我希望应用程序能够进行 API 调用以创建新用户。当然，不是每个人都应该能够创建一个新用户，所以它应该有某种身份验证。我可以使用基本身份验证或摘要身份验证（并不重要，因为我肯定会使用 SSL），但是我必须将凭据硬编码到我的应用程序中。如果凭据以某种方式被发现，我将不得不更改它们，但这意味着应用程序的所有实例都不再经过身份验证，并且它们无法再创建用户。

我想拥有的东西：

1. 只有我的应用才能使用用户创建调用。
2. 更改凭据应该很容易，或者凭据应随时间自动更改。例如，如果它们涉及日期和时间，则更难破解。
3. 应该不可能（或非常难以）击败背后的系统，同时随着时间的推移了解一些凭据。

是否可以让我的应用随机生成公钥和私钥对并使用它们？保护这些调用的标准方法是什么？

提前致谢，

鲁根·海德布切尔

Answer 1

我可以分享我自己的经验：

• https 与 API 的协议通信。 这是你关于私钥/公钥的最后一句话，所有内容都内置在 https 中。
• Doorkeeper（我们将其与 Devise 结合使用）用于 Oauth 的 gem（在我的例子中是 github 帐户）作为身份验证，而您可以使用成对的用户/密码。
• CanCanCangem 作为授权（用户创建限制是授权而不是身份验证）

这三个工具的集合应该为您的 API 提供基本的安全级别。我相信cancancan 可能正在讨论中，而devise 主要是行业标准。