Salve a tutti,
sto cercando di studiare per bene come mettere in sicurezza una web app
e le API.
Quello che mi piacerebbe implementare è un sistema di autenticazione
tramite numero di telefono. Il webserver genera una password e un token,
inviando il primo tramite sms ( magari tramite servizi come Twilio ).
Numero di cellulare e password saranno usati poi per accedere alla web
app.
Tuttavia c’è anche un app mobile che dovrebbe servirsi invece del token
per l’accesso alle API. Quindi una volta inserito nome utente e password
viene inviato il token all’app che lo memorizza ( naturalmente il tutto
tramite HTTPS ).
Mi stavo guardando in giro per vedere che gemme esistono per rails-4. Da
quello che vedo Devise è quello più usato/conosciuto ma non supporta più
i token in quanto ritenuti insicuri ( mi piacerebbe capire meglio il
perchè ).
Viene detto di usare un sistema più sicuro come Oauth2 che potrebbe
essere utile nel momento in cui volessi rendere pubbliche le mie API o
se volessi far loggare gli utenti da piattaforme come twitter, google
etc.
Ma non penso sia utile al mio scopo, no???
Insomma…un mare di confusione e mi piacerebbe capire quale sistema
ritenete migliore e quale gemma più semplice ed immediata per il mio
scopo.
Ciao,
io ho un’applicazione rails 3 che utilizza la versione di devise “con
token” per fornire le sue api e dovrò sicuramente aggiornarla. Seguo
quindi con interesse la tua questione.
Devise non supporta più i token e a mio avviso giustamente. Ti lascio un
link che ti può tornare utile:
Quindi tramite questa gemma dovrebbe essere possibile implementare Token
Authentication con Devise in modo sicuro?
Mmm, a quanto pare questa potrebbe essere una soluzione al problema…