ruby on rails - Autenticación de usuario con uva y diseño

Tengo dificultades para comprender y también implementar correctamente la Autenticación de usuario en las API. En otras palabras, tengo un serio problema para entender la integración de la API de Grape con frameworks frontales como Backbone.js, AngularJS o Ember.js.

Estoy tratando de hacer pivotar todos los enfoques diferentes y leer mucho sobre eso, pero Google me devuelve recursos realmente malos y me parece que no hay un artículo realmente bueno sobre este tema: Rails y autenticación de usuario con Devise y front-end marcos .

Describiré mi pivote actual y espero que puedan brindarme algunos comentarios sobre mi implementación y tal vez apuntarme en la dirección correcta.

Implementación actual

Tengo la API REST de Rails de respaldo con el siguiente Gemfile (voy a acortar deliberadamente todo el código de archivo)

gem ''rails'', ''4.1.6'' gem ''mongoid'', ''~> 4.0.0'' gem ''devise'' gem ''grape'' gem ''rack-cors'', :require => ''rack/cors''

Mi implementación actual solo tiene API con las siguientes rutas ( routes.rb ):

api_base /api API::Base GET /:version/posts(.:format) GET /:version/posts/:id(.:format) POST /:version/posts(.:format) DELETE /:version/posts/:id(.:format) POST /:version/users/authenticate(.:format) POST /:version/users/register(.:format) DELETE /:version/users/logout(.:format)

Creé tener el siguiente modelo user.rb

class User include Mongoid::Document devise :database_authenticatable, :registerable, :recoverable, :rememberable, :trackable, :validatable field :email, type: String, default: "" field :encrypted_password, type: String, default: "" field :authentication_token, type: String before_save :ensure_authentication_token! def ensure_authentication_token! self.authentication_token ||= generate_authentication_token end private def generate_authentication_token loop do token = Devise.friendly_token break token unless User.where(authentication_token: token).first end end end

En mis controladores creé la siguiente estructura de carpetas: controladores-> api-> v1 y he creado la siguiente autenticación de módulo compartido ( authentication.rb )

module API module V1 module Authentication extend ActiveSupport::Concern included do before do error!("401 Unauthorized", 401) unless authenticated? end helpers do def warden env[''warden''] end def authenticated? return true if warden.authenticated? params[:access_token] && @user = User.find_by(authentication_token: params[:access_token]) end def current_user warden.user || @user end end end end end end

Así que cada vez que quiero asegurarme de que se invocará mi recurso con el token de autenticación, simplemente puedo agregarlo llamando al: include API::V1::Authentication al recurso de uva:

module API module V1 class Posts < Grape::API include API::V1::Defaults include API::V1::Authentication

Ahora tengo otro recurso de Grape llamado Users (users.rb) y aquí implemento métodos para autenticación, registro y cierre de sesión. (Creo que mezclo aquí manzanas con peras, y debería extraer el proceso de inicio de sesión / cierre de sesión en otro recurso de Grape - Sesión).

module API module V1 class Users < Grape::API include API::V1::Defaults resources :users do desc "Authenticate user and return user object, access token" params do requires :email, :type => String, :desc => "User email" requires :password, :type => String, :desc => "User password" end post ''authenticate'' do email = params[:email] password = params[:password] if email.nil? or password.nil? error!({:error_code => 404, :error_message => "Invalid email or password."}, 401) return end user = User.find_by(email: email.downcase) if user.nil? error!({:error_code => 404, :error_message => "Invalid email or password."}, 401) return end if !user.valid_password?(password) error!({:error_code => 404, :error_message => "Invalid email or password."}, 401) return else user.ensure_authentication_token! user.save status(201){status: ''ok'', token: user.authentication_token } end end desc "Register user and return user object, access token" params do requires :first_name, :type => String, :desc => "First Name" requires :last_name, :type => String, :desc => "Last Name" requires :email, :type => String, :desc => "Email" requires :password, :type => String, :desc => "Password" end post ''register'' do user = User.new( first_name: params[:first_name], last_name: params[:last_name], password: params[:password], email: params[:email] ) if user.valid? user.save return user else error!({:error_code => 404, :error_message => "Invalid email or password."}, 401) end end desc "Logout user and return user object, access token" params do requires :token, :type => String, :desc => "Authenticaiton Token" end delete ''logout'' do user = User.find_by(authentication_token: params[:token]) if !user.nil? user.remove_authentication_token! status(200) { status: ''ok'', token: user.authentication_token } else error!({:error_code => 404, :error_message => "Invalid token."}, 401) end end end end end end

Me doy cuenta de que presento aquí un montón de código y puede que no tenga sentido, pero esto es lo que tengo actualmente y puedo usar el authentication_token para las llamadas en mi API que están protegidas por la Authentication módulo.

Siento que esta solución no es buena, pero realmente busco la forma más fácil de lograr la autenticación de usuario a través de API. Tengo varias preguntas que enumero a continuación.

Preguntas

1. ¿Crees que este tipo de implementación es peligrosa, de ser así, por qué? - Creo que lo es, debido al uso de un token. ¿Hay alguna manera de mejorar este patrón? También he visto la implementación con Token modelo separado que tiene tiempo de vencimiento, etc. Pero creo que esto es casi como reinventar la rueda, porque para este propósito puedo implementar OAuth2. Me gustaría tener una solución más ligera.
2. Es una buena práctica crear un nuevo módulo para Autenticación e incluirlo solo en los recursos donde sea necesario.
3. ¿Conoces algún buen tutorial sobre este tema: implementar Rails + Devise + Grape? Además, ¿conoces algún buen proyecto de código abierto de Rails, que se implementa de esta manera?
4. ¿Cómo puedo implementarlo con un enfoque diferente que sea más seguro?

Me disculpo por una publicación tan larga, pero espero que más personas tengan el mismo problema y pueda ayudarme a encontrar más respuestas a mis preguntas.