我正在开发一个基本的rails API,我希望它是安全的。
我有一个只有属性"status"的模型设备。设备属于给定用户。
- 此特定设备的所有者必须能够安全地更新其状态
- 其他一些用户必须能够安全地读取状态(但不能更新)
我在考虑OAuth方法:
-设备所有者使用身份验证过程来更新状态
-设备用户使用令牌读取其状态
这是一个好方法吗?是真的,有关于宝石使用的建议吗?
检查这个,如果你发现了比这个更多的东西,请告诉我
http://railscasts.com/episodes/352-securing-an-api?view=asciicast