Tag: rails api

devise的token_authenticatable安全吗？

我正在用Rails API构build一个简单的api，并且要确保我在这里的正确轨道上。 我使用devise来处理login，并决定去devise的token_authenticatable选项，它会生成一个API密钥，你需要发送每个请求。 我正在将API与骨干/木偶前端配对，并且通常想知道我应该如何处理会话。 我的第一个想法是将api密钥存储在本地存储或cookie中，并在页面加载时检索它，但是从安全angular度来看，存储api密钥的方式困扰了我。 通过查看本地存储/ cookie或嗅探任何经过的请求，并使用它无限地模拟该用户，将不容易抓住api密钥？ 我目前正在重新设置每个login的api密钥，但即使这似乎很频繁 – 任何时候你login任何设备，这意味着你会登出每隔一个，这是一种痛苦。 如果我可以放弃这个重置，我觉得从可用性的angular度来看会有所改进。 我可能在这里完全错了（也希望是我），任何人都可以解释这种方式是否可靠地进行validation，如果不是一个好的select会是什么？ 总体而言，我正在寻找一种方法，可以安全地保持用户loginAPI访问权限，而无需频繁强制重新授权。