Warden vs Rack::Auth::Basic。在Ruby框架中执行HTTP-Basic-Auth

Question

我想在Ruby中创建一个WebService (Sinatra，Padrino，也许Ramaze...还不知道...)，但我肯定想确保它的安全...

它将是Iphone应用程序的后端，所以我认为SSL安全的HTTP-Basic-Auth将会很好。

我已经查看了几个身份验证框架，遇到了warden……似乎有很好的记录，而devise是建立在它之上的……所以不会那么糟糕的.

但是..。在我看来有点过分了，为了我需要的.

然后我找到了这个Code-Snipplet：

  def protected!
    unless authorized?
      response['WWW-Authenticate'] = %(Basic realm="Testing HTTP Auth")
      throw(:halt, [401, "Not authorized\n"])
    end
  end

  def authorized?
    @auth ||=  Rack::Auth::Basic::Request.new(request.env)
    @auth.provided? && @auth.basic? && @auth.credentials && @auth.credentials == ['admin', 'admin']
  end

如果我只需要那台自动取款机...或者你们谁能提供一个很好的Warden + HTTP-Basic Auth的例子？或者向我解释使用典狱长的更多好处？

提前感谢！:)

Answer 1

不完全确定您在这里要实现的目标。但是，我们有一个Rails应用程序，其中我们使用Warden (+ devise)和HTTP-Basic-Auth相结合，使用中间件来隐藏我们的临时实例。下面是我们放在config/environment/staging.rb中的内容：

  config.middleware.insert_after(::Rack::Lock, "::Rack::Auth::Basic", "Not for public eyes") do |u, p|
u == 'admin' && p == 'secret'
  end

这与我们的典狱长身份验证规则是并行工作的。