自定义设计api令牌身份validation
使用令牌身份validation查找注册用户的最佳方法是什么? 我目前的方式是查询数据库以获取应用程序发送以访问api的令牌。 例如’user = User.where(:authentication_token => params [:authtoken])。first’。 这样安全吗?
我见过使用warden.authenticate的代码和执行ff的另一个代码:客户端发送电子邮件和authtoken。 然后,它使用电子邮件查找用户,然后与发送的令牌以及在db电子邮件查询中找到的用户的令牌进行设计安全比较。 这是设计令牌可validation要点中的解决方案,用于滚动您自己的令牌身份validation。
我是否应该在每个请求中发送电子邮件和令牌?
由于安全问题,Devise删除了token_authenticateable,但正如您所建议的那样,您仍然可以自己实现它。 这个要点有一些很好的讨论和建议: https : //gist.github.com/josevalim/fb706b1e933ef01e4fb6
具体来说,我将看看在第二个解决方案中使用的Devise.secure_compare ,并考虑到您对方法安全性的一些担忧,特别是在时序攻击方面。
- 设计的Rails:关联问题
- delayed_job:NoMethodError
- 设计:密码重置电子邮件中的edit_password_url将用户发送到url / api / v1 /
- 哪个浏览器完全支持REST。 意味着Get,Post,PUT和DELETE方法?
- Rails + Devise:如何覆盖before_filter“authenticate_user!”的重定向
- Rails可安装引擎在动态范围内
- 有没有办法在没有模型的情况下创建一个带有formtastic的表单?
- 未定义的局部变量或#User的方法`confirmed_at’
- RAILS / DEVISE – 设置一个设计cookie以在不同的子域中保持不变