フェニックスのREST APIのヘッダーベース認証

Question

私はElixirで残りのAPIを実装しています。ユーザーを認証するために、各要求にAPIキーが渡されます。

defmodule MyApp.ApiSecurity do 
    def init(options) do 
    options 
    end 

def call(conn, _opts) do 
    # checking if "api-key" headers exists 
    # and key is valid 

    # .... what's next? 
    # if it's a) valid 
    # b) invalid or there's no "api-key" header 
    # ??? 
end 
end 

私は状態とセッションの通常、フォームベースの認証のためにそれを実装する方法を知っている：プラグインでは、私は、この持っています。しかし、残りのapiにはセッションがありません。それから、私はどうしたらいいですか？言い換えれば、a）api-keyが有効な場合、関数 "call"の残りの部分には何があるべきですか？b）無効ですか？

Answer 1

キーが無効であるか存在しない場合は、通常、適切なエラーステータスコードでエラーメッセージを送信してから、Plug.Conn.halt/1を呼び出して、この要求がプラグパイプラインからさらに遠ざかるのを防ぎます。それらのキーが有効な場合は、アプリケーションの残りの部分が使用できるconn（たとえばuser_id）に値を割り当てることをお勧めします。例えば

：

def call(conn, _opts) do 
    case authenticate(conn) do 
    {:ok, user_id} -> 
     conn 
     |> assign(:user_id, user_id) 
    :error -> 
     conn 
     |> send_resp(401, "Unauthenticated") 
     |> halt() 
    end 
    end 
end 

さて、この1の後に差し込まれているすべてのプラグがconn.assignsで有効なuser_idを存在し、それを利用することができることを確認することができます。

より現実世界のアプローチについて、あなたはguardianこのない方法を見ることができます。

• Guardian.Plug.EnsureResource
• Guardian.Plug.ErrorHandler