关于使用 Web 服务进行身份验证和会话管理的 Ruby Rails 身份验证方法的建议

Question

我是 ruby​​ on Rails 的初学者，对于采取的最佳身份验证方法有点困惑：

1）将用户在浏览器中输入的登录凭据安全地传递到 Web 服务调用（在 savon gem 中使用 http basic auth）。

2) 使用初始 Web 服务 http 响应提供的会话 ID 来允许用户与 Rails 应用程序和 Web 服务建立持久会话。

3) 在当前用户会话期间发出的每个 Web 服务请求中自动使用步骤 1 中输入的登录凭据和步骤 2 中的会话 ID（直到用户注销或关闭浏览器）。

我读过很多关于 cookie、会话和各种 gem（例如管理身份验证的 devise 和 authlogic）的内容，但这一切都相当令人困惑，我看不出它们如何适合我的由 Web 服务应用程序管理的所有身份验证和会话的特定场景而不是 Rails 应用程序。 谁能就如何实现上述目标提供任何建议？

谢谢

P.S Rails 应用程序只能通过手机浏览器访问。

Answer 1

我建议阅读使用 Ruby 和 Rails 进行面向服务的设计。它涵盖了一些身份验证服务示例，示例代码可以在此处找到。我不确定您的具体情况是什么，但我计划使用类似于 Amazon S3 的签名来处理经过身份验证的请求。我还没有实现它，但当我实现时我会写一篇关于它的文章。