内存和数据库都需要，内存可以加快请求速度，减少数据库请求。

产生过程和验证过程可以参考 oauth 的 token 验证和授权过程。

或者是一个简单的，我们现在使用的就是 token。 在访问任何服务之前都需要先访问一个获取 token 的服务，服务在后台生成一个 token，存入数据库。 后续的服务访问，都需要传入 username 和 token，服务会判断 token 是否和 username 匹配，token 是否过期。 过期用的定时服务，定时删除超时的 token，下次验证就可以做过期提示了。

这个比较简单。 可以增加一个授权的过程。 就是 client 提交 key-secret，验证 client 是否合法 client。 如果是合法 client，返回一个未授权的 token，然后再用这个 token 请求一个授权的 token。 使用授权的 token 访问服务。

session 验证满足不了你的需求么

个人建议用 sinatra，更灵活 token 的话，不如直接上 oauth？ https://github.com/songkick/oauth2-provider

#4 楼 @woaigithub 后台服务的数据库应该还是需要用到内存数据库吧 #5 楼 @hooopo session 怎么用？ #6 楼 @allenwei 刚接触 ruby 不久，不是很理解咋用这个啊 - -！

用内存数据库是因为可以加快访问和验证，现从数据库获取验证也是可以的。

每次请求都要带上其实是 session token 一般是用来做一次验证，短时间过期，验证通过之后换 session session 解决方案很多，不用自己做了

#8 楼 @woaigithub 嗯 #9 楼 @sparkle 嗯嗯，哪里有现成的 demo 让我喵一眼啊 呵呵

rails 里面就有很多 session 内存、文件、数据库、dbr、redis 都有

#11 楼 @sparkle session 应该保存不了吧，手机客户端请求服务端，没有浏览器的支持，估计 session 是马上消失的，我都打算禁用 session 呢

不是说通过浏览器的 cookie 传进来的 session id 才叫 session session id 可以自己的代码传进来

#13 楼 @sparkle 恩，所以这个 session 只是名字上是 session 而已，对吧 我现在打算的做法是：把 key（token）：value(user_id) 放在 redis 内存数据库 然后设置这个 key 的过期时间，这个做法靠谱不？

我前面的做法不对，我理解 13 楼 sparkle 的说法了

#13 楼 @sparkle 我一直非常关注这块，学习 Ruby 也是因为 ROR 的 RESTful 风格在 API 开发时候的首选。其实最成熟的解决方案是 XAuth，因为通过公钥和私钥对生成（混入 Action）的 token 目前相对安全度很高。如果使用 session_id，安全会存在截获 session_id 以后，非法侵入。

欢迎讨论！

• #6 楼 @allenwei 有 oauth2-provider 的实际项目经历吗？不知道有没有 XAuth 版本？性能如何？

https://dev.twitter.com/docs/oauth/xauth