Rails Аутентификация и Авторизация без гарантии сеансов браузера?

Question

Прямо сейчас я использую инфраструктуру аутентификации RESTful для авторизаций с моим приложением rails.Это все хорошо (хотя, насколько я понимаю, немного устарело?), Но теперь мне нужно аутентифицировать пользователя, который может не иметь сеанса http (например, из приложения (не браузера), который посещает мои маршруты rails).

В частности, теперь я должен поддерживать приложение для iPhone, которое загружает некоторые из моих спокойных маршрутов, чтобы заполнить себя.Тем не менее, это приложение должно пройти проверку подлинности и просто передать имя пользователя и пароль в качестве параметров, кажется не очень безопасным.Мало того, что это не безопасно, это не очень чисто (я должен был бы изменить все мои вызовы, ссылающиеся на current_user (сохраненный в сеансе) на ручную настройку текущего пользователя, поскольку обращения к моему приложению без браузера, кажется, не имеют сеансаvars (или я ошибаюсь по этому поводу?))

Любой совет?Может ли RESTful Authentication сделать это?Является ли их альтернативная структура (например, Authlogic, OAuth или что-то еще), которая может мне помочь?

Answer 1

Разработать , по-видимому, может аутентификация на основе токенов .

В целях безопасности разрешать только SSL-соединения. Перенаправляйте любые HTTP-запросы без SSL на версию сайта SSL. Для этого вы можете использовать промежуточное программное обеспечение Rack rack-ssl .

Answer 2

CanCan в значительной степени является де-факто инструментом авторизации для приложений Rails. В этом случае не стоит пытаться заново изобретать колесо.

Я считаю, что он хорошо работает как с AuthLogic, так и с аутентификацией RESTful. У меня нет большого опыта с последним.