При стандартной конфигурации авторизации токена устройства uid
идентичен электронной почте пользователя и является обязательным для поиска текущего пользователя. Но мое требование состоит в том, что мне нужно скрывать uid
в заголовке http при запросе и ответе из-за риска безопасности. Это возможно?
Но это требование. Это возможно?
Да, вы можете использовать Базовая аутентификация надзирателя или написать свою собственную стратегию Warden. Однако вам нужно будет немного узнать о том, как работает Warden и его роль в Devise.
Единственный раз, когда клиент отправляет свои учетные данные, - это когда они обменивают их на токен. В этом случае они отправляются в теле почтового запроса. Я не понимаю, как размещение учетных данных в заголовке имеет какое-либо значение, когда дело доходит до атаки человека посередине.