Ruby on rails 自定义设计api令牌身份验证
使用令牌身份验证查找注册用户的最佳方法是什么?我目前的做法是向db查询应用程序为访问api而发送的令牌。例如,“user=user.where(:authentication_token=>params[:authtoken])。first”。这安全吗 我见过使用warden.authenticate的代码和另一个执行ff的代码:客户端将电子邮件与authtoken一起发送。然后,它使用电子邮件查找用户,然后与发送的令牌和在db电子邮件查询中找到的用户令牌进行设计安全比较。这是Desive token Authentication gist中的解决方案,用于滚动您自己的token authRuby on rails 自定义设计api令牌身份验证,ruby-on-rails,devise,Ruby On Rails,Devise,使用令牌身份验证查找注册用户的最佳方法是什么?我目前的做法是向db查询应用程序为访问api而发送的令牌。例如,“user=user.where(:authentication_token=>params[:authtoken])。first”。这安全吗 我见过使用warden.authenticate的代码和另一个执行ff的代码:客户端将电子邮件与authtoken一起发送。然后,它使用电子邮件查找用户,然后与发送的令牌和在db电子邮件查询中找到的用户令牌进行设计安全比较。这是Desive to
我是否应该在每个请求中随令牌一起发送电子邮件?出于安全考虑,设计可验证的已删除令牌,但正如您所建议的,您仍然可以自己实现它。本要点中有一些很好的讨论和建议:
具体地说,我想看看第二种解决方案中使用了哪种方法,并考虑到您对方法安全性的一些担忧,特别是在定时攻击方面。谢谢!是按要点上说的那样做的!