不知道楼主为什么不用 Rails，如果只依靠标准库的话，WEBRick http://ruby-doc.org/stdlib-2.4.0/libdoc/webrick/rdoc/WEBrick.html

MySQL 需要装 mysql2 https://github.com/brianmario/mysql2

正常情况，区分 v1 v2 应该是 Api 模式有大变动。

如果有部分变动不大，我会把代码拷贝过来，不要有依赖。

那可以用片段缓存。

路径区分版本。

是的。有更新的话，也要更新 data。

可以增加一张表，解决查和排序，同时储存 data 避免运算

{
  user_id
  source_type
  source_id
  data
  created_at
  updated_at
}

举个现实的例子，我想不通要轮流查 a b c 的意义。

对于如何避免重新计算 data 这一点，可以把计算结果放库里。

https://ruby-china.github.io/rails-guides/active_record_querying.html#eager-loading-associations

楼主需要补 SQL 基础知识。

你是复读机么，来来去去就这一句。如果你没有其它补充，我严重质疑你发言的真实性，也会留意你在其它帖子的表现。

这两件事完全没联系。

为什么你觉得他是管理员？所有管理员列在这个页面 https://ruby-china.org/wiki/about

管理员个人页面头像下方有红色“管理员”标签。

刚好团队出去团建…

不要简单的复制粘贴。

又重返😳

如果被爆库，大部分攻击者要的信息已经拿到了，也可以随意篡改。所以敏感信息还要加密存储。

如果不是服务端存 token，用户解除锁定了盗用者的 token 是不是又能用了？

锁定强制重制密码 + Token 立即失效。

我以前试过，可以是可以，后来要做个一键撤销 token 之类的功能要和密码解绑，就不用了。

有时需要立即过期，例如发现账号被盗用了，失效时间就不够用了。

所以还是服务端持久化 Token 加 HTTPS 好。

JWT 作为传输的包，验证内容还是建议用 token，不然 JWT 无法失效。

另外我看很多 JWT 实现只有 JWS（sign）没有 JWE（encrypt），要注意是否符合自己的安全要求。

就算有 JWE，没有 HTTPS 一样会被劫持。

http://railscasts.com/episodes/352-securing-an-api?view=asciicast

# options 1
production:
  host: myhost
  database: somedatabase
  username: myuser
  password: mypass

# options 2
production:
  url: "postgres://myuser:mypass@myhost/somedatabase"

受不了模版审核。

顶楼啥细节都没说，我也只好把经验埋在心里。

23333 任何问题转前后端分离

值
引用
引用

http://railscasts.com/episodes/385-authorization-from-scratch-part-1?view=asciicast

https://ruby-china.org/topics/32005

https://stackoverflow.com/questions/338436/is-there-a-quick-git-command-to-see-an-old-version-of-a-file