У меня есть 2 приложения Rails, которым обоим нужен доступ к стороннему API. Только одно из приложений находится под моим контролем, другое - отдельно и вне моего контроля. Другое приложение использует OAuth для захвата токена и обработки запросов. Я бы хотел как-то воспользоваться контрагентом OAuth этого приложения, но мне нужен какой-то способ надежно перенести его в мое приложение. У меня есть соглашение по отдельному приложению, так что это не проблема, при условии, что мы сможем найти решение, которое будет безопасным и максимально беспроблемным.
Самым большим недостатком является то, что оба эти приложения живут на одной странице (одно отображает всю страницу, в то время как другое под моим контролем отвечает только за некоторые запросы AJAX). Вот почему я не могу просто авторизоваться во второй раз, мое приложение только для AJAX не имеет интерфейса входа в систему и просто должно стоять на плечах основного приложения.
В настоящий момент я не могу придумать решение, которое не предусматривает передачу незащищенного токена в исходный код HTML, что делает мое AJAX-приложение уязвимым для атаки. Кроме того, я бы хотел, чтобы приложение Rails не создавало маршруты для передачи моих запросов AJAX через их сервер.
Будем весьма благодарны за любые предложения о том, как заставить мое приложение Rails, предназначенное только для AJAX, использовать OAuth основного приложения Rails. Спасибо.