我有2个内部Rails服务,需要互相交谈。我需要一个建议,以确保如何以最少的努力使其足够安全。
当前,服务A向服务B发送Authorization
HTTP标头,其中包含秘密令牌。基于HTTP令牌的简单方法,没什么特别的。但是我还需要某种方式来传达用户令牌,因此服务B会知道哪个用户正在与之通信。
我当前的解决方案是:
Authorization Token token=blabla user_token=blabla2
user_token
标识用户替代:
X-USER-TOKEN
,但似乎RFC不赞成这种想法。非常感谢您的帮助。
我很好奇为什么用户令牌不足,您能对此进行详细说明吗?
但是假设您想继续使用双令牌方法,可以使用JWT之类的代码来用秘密令牌对用户令牌进行编码。这样,您将只有1个令牌,并且可以简单地将其发送为Authorization: Bearer xxxxxx
。