[Ruby-On-Rails] Il token_authenticatable di devise è sicuro?


Answers

Secondo il README del progetto, la gemma devise_token_auth è stata ispirata da questo post StackOverflow: https://github.com/lynndylanhurley/devise_token_auth

Question

Sto creando un'API semplice con l' API Rails e voglio essere sicuro di essere sulla strada giusta. Sto usando devise per gestire gli accessi e ho deciso di utilizzare l'opzione token_authenticatable di token_authenticatable , che genera una chiave API che devi inviare ad ogni richiesta.

Sto accoppiando l'API con un front end backbone / marionette e mi sto chiedendo in generale come gestire le sessioni. Il mio primo pensiero è stato quello di archiviare la chiave API nella memoria locale o in un cookie e recuperarla al caricamento della pagina, ma qualcosa sull'archiviazione della chiave API in quel modo mi ha infastidito dal punto di vista della sicurezza. Non sarebbe facile afferrare la chiave APi cercando nella memoria locale / il cookie o annusando qualsiasi richiesta che passa e usandola per impersonare quell'utente indefinitamente? Attualmente sto ripristinando la chiave API ogni accesso, ma anche quello sembra frequente - ogni volta che accedi a qualsiasi dispositivo, questo significa che verrai disconnesso da tutti gli altri, il che è una specie di problema. Se potessi abbandonare questo reset, mi sento come se migliorasse dal punto di vista dell'usabilità.

Potrei sbagliare totalmente qui (e spero di esserlo), qualcuno può spiegare se l'autenticazione di questo modo sia affidabile e se non sia una buona alternativa? Nel complesso, sto cercando un modo per mantenere gli utenti "connessi" all'accesso API senza forzare di nuovo la re-auth.




Links