サードパーティの API に対して複数のユーザー固有の呼び出しを行う Rails アプリケーションがあります。彼らは調査に記入する過程で多くのデータを操作し、調査の最後に到達してデータがローカル データベースに保存され、localStorage がクリアされるまで、進行状況は HTML5 の localStorage に保存されます。
API 呼び出しには、「auth=」パラメーターとして末尾に追加されたトークンが必要です。現在、ユーザーにそのサービスへのユーザー名とパスワードを使用してアプリにログインさせ、それらの資格情報をその API の「セッション」呼び出しに POST し、JSON でトークンを取得します。そのトークンをコントローラーの変数に保存し、それを使用して一連の API 呼び出しを行い、ユーザーのデータをアプリに表示します。
Rails についてはかなりのことを学びましたが、セッションや認証についてはほとんど何も知りませんでした。一般的に言えば、これを安全なシナリオにするために他に何かする必要がありますか? 何かが足りない気がします。