我理解使用Rails API或任何REST API,用户将发送用户名和密码,服务器将确认用户是否有效,并返回HTTP令牌以供将来对API的请求有效。
我正在创建一个带有Rails的API,它将与用户可以粘贴到其站点标题中的脚本进行通信。因此,我的Rails API将不会获取用户名或密码,只是一个站点ID,以了解是否应该使用API。
我的问题是:如何在未使用用户名和密码时对API进行身份验证?我可以检查请求来自的域是否与网站ID匹配,然后发送令牌,但它似乎并不完全安全,因为任何拥有网站ID和更改请求标头来源的知识的人都可以访问API。