【发布时间】:2014-04-05 08:04:34
【问题描述】:
我正在为 rails json api 使用基于令牌的身份验证。我已经在设计会话和注册控制器中重写了方法,因为设计不推荐使用 token_authenticable 模块。 api不需要这种状态的设计吗?对于我自己编写令牌身份验证这样的目的,设计是否更安全?
例如,根据设计要点,我应该使用以下代码通过令牌对用户进行身份验证:
def authenticate_user_from_token!
email = params[:user_email].presence
user = email && User.find_by_email(email)
if user && Devise.secure_compare(user.authentication_token, params[:auth_token])
sign_in user, store: false
end
end
我相信params[:auth_token] 不适用于在标头中发送令牌的 api。我也不确定sign_in user 在 json api 中的用途。我可以继续设计并继续修改它以获取令牌或遵循例如https://github.com/danahartweg/authenticatable_rest_api/ 获取自定义解决方案。
【问题讨论】:
标签: ruby-on-rails api devise