问在devise中使用rails秘密进行盐分认证密钥

EN

Devise做了很多事情，而不一定是您特定的应用程序需要的东西，也不一定是您的应用程序所需要的方式。我发现这不适合我的申请。缺乏对api令牌身份验证的支持/删除提供了足够的动力来继续前进并实现我所需要的。我能够很容易地从零开始实现令牌。我还在管理用户注册/工作流/邀请等方面获得了充分的灵活性，而没有设计所需的约束和扭曲。我仍然使用Warden，它也是用于Rack中间件集成的。

我提供了一个在另一个堆叠溢出问题上实现令牌身份验证/授权的示例。您应该能够使用该代码作为令牌身份验证的起点，并实现所需的任何其他令牌保护。我也在Ember.js中使用我的Ember.js令牌方法。

还要考虑是否加密令牌仅仅是挥手，因为取决于您的部署环境和您如何管理主密钥/秘密，它可能会给人一种错误的安全感。还请记住，加密并不意味着令牌或相关身份验证/授权信息的完整性/有效性，除非您还有一个MAC/签名，该签名包含在访问决策中使用的所有内容。因此，虽然您可能遇到了保护令牌不受访问您数据库的攻击者的困扰，但对于这些攻击者来说，将伪造的令牌注入数据库或提高数据库中现有用户的权限，或者只是窃取或修改真实的数据(这可能正是他们真正想要实现的)，这可能是微不足道的！

我已经做了一些大的评论，为所有认证/授权信息(令牌是认证/授权信息的一部分)提供完整性和保密性控制。我建议阅读全期来了解问题的范围和需要考虑的事情，因为目前所有的宝石都没有做应该做的事情。我概述了如何避免将令牌完全存储在服务器上(完全是)，并提供了一些gist中的示例令牌生成和身份验证代码，它也处理基于时间的攻击。