Аутентификация с существующим внешним API

Question

Я строю Ruby on Rails (Rails - v4.2.3 & Ruby 2.2.2) Приложение, которое использует существующий REST API. Вышеупомянутый API написан на PHP. Мне нужна помощь в том, как управлять аутентификацией?

О поиске с помощью различных форумов я наткнулся на этих два драгоценные камни

1. https://github.com/lynndylanhurley/devise_token_auth
2. https://github.com/gonzalo-bulnes/simple_token_authentication

Проблемы я столкнулся с обеими в том, что они требуют моего приложения, чтобы иметь модель пользователей настроен (с помощью Devise).

Однако мое приложение в первую очередь является интерфейсом для существующего API REST, поэтому, если я сконфигурирую свою собственную модель пользователя, у меня будет два хранилища данных (один для APP, который я создаю, а другой для существующего API).

Я хочу использовать внешний API и не иметь никаких родных моделей для своего APP.

Я считаю, что я могу использовать ActiveResource для этого (мне нужно больше очков репутации разместить ссылку на драгоценный камень, жаль, что я не могу сделать это прямо сейчас, я новичок в StackOverflow):

Однако я не уверен, как управлять безопасностью приложения. Более конкретно, какие меры я могу предпринять, чтобы предотвратить просмотр информации аутентификации в открытом тексте, пока она передается на мой сервер API для аутентификации?

Thank you.

Answer 1

Используйте HTTPS на вашем API. Если ваш внешний API использует HTTPS, то информация пользователя не будет отправляться в открытом тексте из вашего приложения rails.

Не забудьте также использовать HTTPS для вашего рельса, так как это более важно.