【发布时间】:2014-11-07 18:28:48
【问题描述】:
我已经搜索过这个答案,但没有找到任何东西,需要关于这个概念的帮助。因此,我们创建了一个带有 Rails 的 API,它为我们的 Angular Web 应用程序(单独的服务器)和我们的 iphone 应用程序提供数据。目前人们通过表单登录并从 api 设计发送一个 auth_token 以供将来交互,数据也使用 AWS 密钥进行保护。
现在我们希望向公众开放 API,但仅限于某些订阅计划,并且可能只是部分功能。我们希望使用类似于 Pingdom 的身份验证,如果正确计划中的用户在他们的帐户中生成一个 api 令牌并将此令牌与请求一起发送。这是我有点不知所措的地方,因为如果我为一些通过令牌进行身份验证的用户保护 API 的控制器,那么这也会影响没有 api 令牌的 iPhone 和 Web 应用程序用户?
我无法理解私有 API 的概念,如果某些用户拥有 api 密钥,他们就可以使用它。请帮忙。
【问题讨论】:
-
我会为外部消费者创建一个 api,并保持内部 api 独立地为您的应用程序提供服务。因为当您打开一个 api 时,您可以随意更改响应
标签: ruby-on-rails api