我正在开发一个移动应用程序,该应用程序将与一个rails应用程序进行交互,而该应用程序本质上是一个jsonapi。是否可以使用facebook或googleplus等外部身份提供商来确保访问我的API?
用户会将照片上传到json rest服务,但rails应用程序只有在使用经过其中一个提供商验证的情况下才允许上传。
我已经检查了omniauth gem,但我不知道这是否是实现它的途径。我不太了解oauth是如何工作的,所以我想知道这是否可行。
问候伪造
答案在一定程度上取决于您将如何通过移动应用程序提供Identity。用户的身份验证和他们的身份被解除耦合。
我的猜测是,你希望用户使用谷歌/脸书sdk应用程序端对移动应用程序进行身份验证。为此,您需要使用该sdk生成一个令牌,然后将其保存到Rails中。然后,令牌可以被要求作为每个API请求的一部分,rails将对其进行验证。
这个主题有点复杂,无法完全描述流程。。。。但本质上:1)使用移动sdk在移动应用程序上创建令牌,2)将用户和令牌保存到Rails/数据库,3)作为每个请求的一部分,检查提供的access_token。
由于Oauth和请求/身份提供程序的主题需要一些时间才能理解,我将首先观察他对确保API安全的关注。一旦你完成了这个(并理解了这个概念),你也可以观看这个railscast。
希望这能有所帮助。