通过Ruby on Rails中的HTTP标头进行自定义授权

问题描述 投票:4回答:1

我有2个内部Rails服务,需要互相交谈。我需要一个建议,以确保如何以最少的努力使其足够安全。

当前,服务A向服务B发送Authorization HTTP标头,其中包含秘密令牌。基于HTTP令牌的简单方法,没什么特别的。但是我还需要某种方式来传达用户令牌,因此服务B会知道哪个用户正在与之通信。

我当前的解决方案是:

  1. 发送Authorization Token token=blabla user_token=blabla2
  2. 使用existing in Rails方法进行解析
  3. 通过提供的user_token标识用户
  4. 受此StackOverflow post的启发

替代:

  1. Amazon way,内容如下:授权:MY-APP-V1令牌= blabla凭据= user_token,但我需要为其自定义解析器。
  2. 自定义HTTP标头,例如X-USER-TOKEN,但似乎RFC不赞成这种想法。
  3. 您的建议或建议

非常感谢您的帮助。

ruby-on-rails rest http header authorization
1个回答
1
投票

我很好奇为什么用户令牌不足,您能对此进行详细说明吗?

但是假设您想继续使用双令牌方法,可以使用JWT之类的代码来用秘密令牌对用户令牌进行编码。这样,您将只有1个令牌,并且可以简单地将其发送为Authorization: Bearer xxxxxx

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.