Rails 3.1 Web 服务中的两种不同授权方案

Question

我正在使用 Rails 3.1 创建一个 Web 服务，该服务需要经过身份验证的用户帐户来创建/管理内容。它还需要一个用于访问内容的临时“用户”的授权方案 - 他们没有帐户，但只需提供在其请求中创建内容的用户提供给他们的密码。

我认为最好的策略是将两者分开，而不是为临时用户创建帐户，将它们表示为与内容关联的单独模型。

我的问题是，这是否是我应该从头开始构建的东西，或者我是否可以从现有的身份验证宝石之一中获得足够的杠杆作用。如果是后者，我将如何配置它来管理两种不同的策略。

Answer 1

如果理解正确，您将拥有常规帐户用户和用户生成的临时帐户，以共享对任何内容的访问权限。
我认为不存在用于此特定目的的东西。
我认为需要使用可靠且舒适的 Auth Manager gem 来保护用户和 tmp_account 访问的安全。
其余的，即管理用户-tmp_account 关系和管理 tmp_account 的生命周期+权限，可以轻松手动完成。
我个人用 gem Devise 构建了类似的东西。

Answer 2

事实证明我真的不需要认证宝石。虽然实现尚未完成，但 Rails 3.1 的 has_secure_password 和 CanCan 的组合似乎可以很好地工作为了这。

以下是 Ryan Bate 使用 has_secure_password 的教程： http://asciicasts.com/episodes /270-authentication-in-rails-3-1

这个想法是在用户和内容模型上使用 has_secure_password ，并实现current_user，以便在提供密码时创建一个临时用户，并在该临时用户上设置密码属性。然后 CanCan 的 Skill 类中 init 方法的实现将根据 can 块中的内容验证临时用户的密码。