У меня есть 2 внутренних Rails-сервиса, которые должны общаться друг с другом. Мне нужен совет, как сделать его достаточно безопасным и с минимальными усилиями.
В настоящее время служба A отправляет Authorization HTTP-заголовок службе B, которая содержит секретный токен. Простой метод на основе HTTP-токенов, ничего особенного. Но мне также нужно как-то передать токен пользователя, чтобы служба B узнала, с каким пользователем он разговаривает.
Мое текущее решение следующее:
- send
Authorization Token token=blabla user_token=blabla2 - использовать существующие в Rails методы для его анализа
- идентифицировать пользователя по предоставленному
user_token - , вдохновленному сообщением StackOverflow
Альтернативы:
- Amazon способ с чем-то вроде: Авторизация: токен MY-APP-V1 = blabla Credential = user_token , но мне нужен собственный анализатор для него.
- Пользовательский заголовок HTTP, например
X-USER-TOKEN, но, похоже, RFC не в пользу этой идеи. - Ваше предложение илипредложение
Большое спасибо за любую помощь.