我们可以使用哪些方法来干净地为 Rails 应用程序中的 API 客户端和普通用户提供访问权限？

Question

我们正在构建一个 Rails 3 Web 应用程序，该应用程序需要对访问该网站的常规用户进行授权和身份验证。这些用户还可以使用第三方应用程序通过我们的 API 访问该网站。

我们可以使用哪些方法来有效、干净地向客户端和用户提供访问权限？您在自己的也具有 RESTful API 的 Rails 应用程序中使用了哪些策略？

理想情况下，我们寻求的解决方案是：

• 与 Devise 和 CanCan（我们已经用于 authn/authz）配合良好
• 与 Mongoid 配合良好
• 不会污染我们的控制器
• 安装和配置相对简单（如果它是 gem 或插件）
• 如果是一般策略，则很容易测试；或者已经测试过，如果它是 gem 或插件

Answer 1

由于您已经在使用 Devise，请查看 token_authenticatable 策略（将其添加到您的用户模型并确保 devise init 反映您调用的令牌参数）。

您还需要添加：“before_save :ensure_authentication_token”到您的用户模型中（假设您不希望它是一次性使用的）。

只需在用户的个人资料页面或其他地方提供他们的令牌即可。如果您愿意，可以将其称为 API 令牌。