token_authenticatable
选项,它会生成一个API密钥,您需要在每个请求中发送该密钥。我将API与backbone/marionette前端配对,通常想知道如何处理会话。我的第一个想法是只需将API密钥存储在本地存储或cookie中,并在页面加载时检索它,但从安全角度来看,以这种方式存储API密钥似乎有些不妥。通过查看本地存储/ cookie或嗅探任何经过的请求,是否很容易获取API密钥并用它无限期模拟该用户?我目前在每次登录时重置API密钥,但即使如此,这似乎也太频繁了 - 每当您在任何设备上登录时,这意味着您将在其他所有设备上注销,这有点令人烦恼。如果我可以去掉这个重置,我觉得从可用性的角度来看会改善很多。
我可能完全错了(并希望我错了),是否有人可以解释一下以这种方式进行身份验证是否可靠安全,如果不是,则有什么好的替代方案?总体而言,我正在寻找一种方法,可以通过安全方式让用户“签入”API访问而无需频繁强制重新身份验证。
urlsafe_base64
会生成一个安全的 URL 字符串。这就是名字的由来。除非你想在 URL 中使用令牌(不建议这样做),否则请使用hex
。 - Ashitaka