內(nèi)存和數(shù)據(jù)庫都需要，內(nèi)存可以加快請求速度，減少數(shù)據(jù)庫請求。

產(chǎn)生過程和驗證過程可以參考oauth的token驗證和授權(quán)過程。

或者是一個簡單的，我們現(xiàn)在使用的就是token。
在訪問任何服務(wù)之前都需要先訪問一個獲取token的服務(wù)，服務(wù)在后臺生成一個token，存入數(shù)據(jù)庫。
后續(xù)的服務(wù)訪問，都需要傳入username和token，服務(wù)會判斷token是否和username匹配，token是否過期。
過期用的定時服務(wù)，定時刪除超時的token，下次驗證就可以做過期提示了。

這個比較簡單。
可以增加一個授權(quán)的過程。
就是client提交key-secret，驗證client是否合法client。
如果是合法client，返回一個未授權(quán)的token，然后再用這個token請求一個授權(quán)的token。
使用授權(quán)的token訪問服務(wù)。

session驗證滿足不了你的需求么

個人建議用sinatra，更靈活
token的話，不如直接上oauth？ https://github.com/songkick/oauth2-provider

#4樓 @woaigithub 后臺服務(wù)的數(shù)據(jù)庫應(yīng)該還是需要用到內(nèi)存數(shù)據(jù)庫吧
#5樓 @hooopo session怎么用？
#6樓 @allenwei 剛接觸ruby不久，不是很理解咋用這個啊 - -！

用內(nèi)存數(shù)據(jù)庫是因為可以加快訪問和驗證，現(xiàn)從數(shù)據(jù)庫獲取驗證也是可以的。

每次請求都要帶上其實是session
token一般是用來做一次驗證，短時間過期，驗證通過之后換session
session解決方案很多，不用自己做了

#8樓 @woaigithub 嗯
#9樓 @sparkle 嗯嗯，哪里有現(xiàn)成的demo 讓我喵一眼啊 呵呵

rails里面就有很多session
內(nèi)存、文件、數(shù)據(jù)庫、dbr、redis都有

#11樓 @sparkle session 應(yīng)該保存不了吧，手機客戶端請求服務(wù)端，沒有瀏覽器的支持，估計session 是馬上消失的，我都打算禁用session呢

不是說通過瀏覽器的cookie傳進來的session id才叫session
session id可以自己的代碼傳進來

#13樓 @sparkle 恩，所以這個session 只是名字上是session而已，對吧
我現(xiàn)在打算的做法是：把key（token）：value(user_id) 放在redis內(nèi)存數(shù)據(jù)庫
然后設(shè)置這個key的過期時間，這個做法靠譜不？

我前面的做法不對，我理解 13樓 sparkle 的說法了

#13樓 @sparkle 我一直非常關(guān)注這塊，學習Ruby也是因為ROR的RESTful風格在API開發(fā)時候的首選。其實最成熟的解決方案是XAuth，因為通過公鑰和私鑰對 生成（混入Action）的token目前相對安全度很高。如果使用session_id，安全會存在截獲session_id以后，非法侵入。

歡迎討論！

• #6樓 @allenwei 有oauth2-provider的實際項目經(jīng)歷嗎？不知道有沒有XAuth版本？性能如何？

https://dev.twitter.com/docs/oauth/xauth