Uso la gemma devise_token_auth durante lo sviluppo di un'API per un'app mobile.
Gli autori sostengono che:
Tokens should be invalidated after each request to the API.
Questo comportamento è abilitato per impostazione predefinita. Qualcuno può spiegare perché?
La risposta perfetta conterrà tutti i meccanismi di sicurezza dei mandatari di questo metodo di autenticazione. Ognuno sarà giustificato con il nome di un attacco associato. Una considerazione speciale deve essere data alla invalidità del token .