4
我正在设计一个Rails应用程序,它将从原生移动应用程序中使用。我是Rails的新手,因此我感觉有点失落。我想实现以下目标:
•移动应用程序的用户应该能够使用Facebook登录并邀请他们的朋友。
•用户应被授权才能调用API。Rails API,Devise&Mobile App。
要保护的API(我读到目前为止这么多的帖子),我决定做以下几点:
•与token_authenticatable服务端使用设计的宝石来验证API即我的移动应用程序的客户端。
工作流程如下:
•客户端应用程序:用户使用Facebook登录并获取有效令牌。
•在客户端应用上:Facebook令牌被发送到服务。
•关于服务:使用FB图我会确保用户是真实的。
o如果它们存在于我的db中,我将为api生成一个令牌令牌。
o否则,我会将它们添加到我的数据库并为api生成一个令牌。
在我的控制器中,我使用的是before_filter :authenticate_user!,但似乎永远验证用户身份。我的问题:
•这是做这件事的最好方法吗?
•如果api标记被拦截?其他用户将能够使用该令牌调用api?
任何文章,书籍,演员将不胜感激。