Я строю простой API сRails APIи хочу убедиться, что я на правильном пути. Я использую devise для обработки логинов и решил пойти с Devise'stoken_authenticatable опция, которая генерирует ключ API, который вам нужно отправлять с каждым запросом.

Я соединяю API с интерфейсом магистрали / марионеток и вообще задаюсь вопросом, как мне обрабатывать сессии. Моей первой мыслью было просто сохранить ключ api в локальном хранилище или файл cookie и извлечь его при загрузке страницы, но кое-что о хранении ключа api таким образом беспокоило меня с точки зрения безопасности. Разве не было бы легко получить ключ API, просматривая локальное хранилище / файл cookie или отслеживая любой проходящий запрос, и использовать его для бессрочного выдания себя за этого пользователя? В настоящее время я сбрасываю ключ api при каждом входе в систему, но даже это кажется частым - каждый раз, когда вы входите в систему на любом устройстве, это означает, что вы будете выходить из системы на любом другом устройстве, что является проблемой. Если бы я мог сбросить этот сброс, я чувствую, что он улучшится с точки зрения юзабилити.

Я могу быть совершенно неправ здесь (и надеюсь, что да), может кто-нибудь объяснить, является ли аутентификация таким способом надежно безопасной, и если нет, то какой будет хорошая альтернатива? В целом, я ищу способ безопасного входа пользователей в систему с доступом к API без частой принудительной повторной авторизации.