我有两个内部的Rails服务,它们需要相互通信。我需要建议如何使其足够安全并且尽可能少地付出努力。
目前,服务A向服务B发送Authorization
HTTP标头,其中包含秘密令牌。简单的基于HTTP Token的方法,没有什么特别之处。但是我还需要以某种方式传达用户令牌,以便服务B知道哪个用户正在与其交谈。
我的当前解决方案如下:
- 发送
Authorization Token token=blabla user_token=blabla2
- 使用Rails中现有的方法进行解析
- 通过提供的
user_token
来识别用户 - 受此StackOverflow帖子的启发
备选方案:
- 像这样使用Amazon way:Authorization: MY-APP-V1 Token=blabla Credential=user_token,但我需要自定义解析器。
- 自定义HTTP头像
X-USER-TOKEN
,但RFC似乎不支持这个想法。 - 您的建议或建议。
非常感谢您的任何帮助。