Я проектирую систему API в Ruby-on-Rails, и я хочу иметь возможность регистрировать запросы и аутентифицировать пользователей.
Однако у меня нет традиционной системы входа в систему, я хочу использовать API-ключ и подпись, которую пользователи могут отправлять в заголовках HTTP в запросе.(Аналогично тому, как работают сервисы Amazon)
Вместо запроса /users/12345/photos/create
я хочу иметь возможность запросить /photos/create
и отправить заголовок, который говорит X-APIKey: 12345
, а затем проверить запрос с подписью.
Есть ли какие-нибудь драгоценные камни, которые можно приспособить для этого?Или еще лучше, какие-нибудь драгоценные камни, которые делают это без адаптации?
Или вы считаете, что было бы разумнее, если бы они отправляли ключ API в каждом запросе, используя переменные POST / GET?