Tag: rails api

devise的token_authenticatable安全吗?

我正在用Rails API构build一个简单的api,并且要确保我在这里的正确轨道上。 我使用devise来处理login,并决定去devise的token_authenticatable选项,它会生成一个API密钥,你需要发送每个请求。 我正在将API与骨干/木偶前端配对,并且通常想知道我应该如何处理会话。 我的第一个想法是将api密钥存储在本地存储或cookie中,并在页面加载时检索它,但是从安全angular度来看,存储api密钥的方式困扰了我。 通过查看本地存储/ cookie或嗅探任何经过的请求,并使用它无限地模拟该用户,将不容易抓住api密钥? 我目前正在重新设置每个login的api密钥,但即使这似乎很频繁 – 任何时候你login任何设备,这意味着你会登出每隔一个,这是一种痛苦。 如果我可以放弃这个重置,我觉得从可用性的angular度来看会有所改进。 我可能在这里完全错了(也希望是我),任何人都可以解释这种方式是否可靠地进行validation,如果不是一个好的select会是什么? 总体而言,我正在寻找一种方法,可以安全地保持用户loginAPI访问权限,而无需频繁强制重新授权。