我正在使用 grape、grape-swagger 和 grape-swagger-rails 为我的 Rails 4.2.1 项目设置 API。这将是一个内部 API,所以我希望开发人员能够访问它,但不是公众。最好的方法是什么?
我最初的想法是利用您可以在swagger-ui 中设置的api_key 字段,但我无法找到在 Grape 的根 API 生成器中访问它的正确方法。
我还认为如果用户是管理员(我们正在使用 Devise),我可以尝试仅安装文档的端点,但这不会隐藏文档本身(如果有人知道 swagger.json 链接) .
过去人们是如何处理这个问题的?
【问题讨论】:
标签: ruby-on-rails swagger grape-api
不完全是您所要求的,但您可能会感兴趣。
为了让 swagger-ui 保持在生产环境中,使用基本身份验证:
# routes.rb
GrapeSwaggerRails::Engine.middleware.use Rack::Auth::Basic do |username, password|
username == 'foo' && password == 'bar'
end if Rails.env.production?
mount GrapeSwaggerRails::Engine, at: "/swagger"
【讨论】:
您可以使用sorcery 进行身份验证,它添加了几个非常方便的方法(在下面的示例中logged_in?)和config/initializers/swagger.rb 添加:
GrapeSwaggerRails.options.before_filter do |request|
unless logged_in?
redirect_to Rails.application.routes.url_helpers.root_path
end
end
也可以使用api_key。在您的class API < Grape::API 中添加before 块以检查api_key 值是否正确,通过params 访问它。
【讨论】:
params 中访问api_key。我不想将它声明为每个 API 方法的参数。
api_key,而是在app/api/name/api.rb 中的before 块中访问。这样就不需要将它声明为每个 API 方法的参数。