Estoy construyendo una api simple conAPI de Rails, y quiero asegurarme de que estoy en el camino correcto aquí. Estoy usando un dispositivo para manejar los inicios de sesión, y decidí ir con Devise'stoken_authenticatable Opción, que genera una clave API que debe enviar con cada solicitud.

Estoy emparejando la API con un extremo frontal de backbone / marionette y generalmente me pregunto cómo debo manejar las sesiones. Mi primer pensamiento fue simplemente almacenar la clave de api en el almacenamiento local o una cookie, y recuperarla en la carga de la página, pero algo sobre el almacenamiento de la clave de api de esa manera me molestó desde un punto de vista de seguridad. ¿No sería fácil agarrar la clave api al buscar en el almacenamiento local / la cookie o detectar cualquier solicitud que pase, y usarla para hacerse pasar por ese usuario de forma indefinida? Actualmente estoy reiniciando la clave de api en cada inicio de sesión, pero incluso eso parece frecuente: cada vez que inicie sesión en cualquier dispositivo, eso significa que se desconectará de todos los demás, lo que es un poco molesto. Si pudiera abandonar este reinicio, siento que mejoraría desde el punto de vista de la usabilidad.

Es posible que esté totalmente equivocado aquí (y espero que lo esté), ¿alguien puede explicar si la autenticación de esta manera es segura y, de no ser así, cuál sería una buena alternativa? En general, estoy buscando una manera de mantener de forma segura a los usuarios 'accedidos' al acceso a la API sin forzar con frecuencia la autenticación.