Rails [已解决][Rails + devise] App 保存 Session 好,还是像 ruby china 为每个 user 生成 token_id 好?
看了 ruby-china 源码,app 访问时,生成一个 tokenid 供客户端 http 请求调用,验证这个 user
但是,为啥不能直接用回 devise 的机制,即登陆成功后的 cookie 保存在客户端,每次调用时自动把 cookie set 上去,这样就不需要生成额外的 tokenid
当然用回 devise 的机制会存在回话过时的问题,可以调整 devise session 过时机制,比如永不过时,也可以在客户端定义一个 servise,每隔一定时间去请求一次,保证 session 的合法性。
至于 token_id 同样可能要做类似的过时检测机制,这个貌似 ruby china 还没有 best practise
请教各位大大,用怎样的方案比较好
@hooopo
JWT 给我的感觉是一种一定程度上能替代 https 来进行安全通讯的方案,好像和我的问题关系不太大。
不过 mark 一下,以后可能碰到需要用到的应用场景
研究一下,JWT 对于移动端来说,是相对于 cookie 而言很不错的选择,唯一缺陷可能在于没有内置机制去使单个 token 失效(stackoverflow 上有不少好建议,可参考最下面的链接)
http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/ https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/
这个介绍怎样在 rails4 中整合 devise 和 jwt https://github.com/jimjeffers/rails-devise-cors-jwt-example/tree/master/app
关于 invalidate token JWT 的建议 http://stackoverflow.com/a/23089839/4412256
