第3の選択肢としてsorceryというのもあります。devsieのように上から下まで全てを提供するわけではなく、主に認証のコアとなる機能だけを提供し、利用者側が自分のコードで利用するというスタンスのライブラリです。これも踏まえて、述べていきたいと思います。

「スタンダード」と言われるとどれもがそうであり、そうではないと思います。Railsの認証を「ほぼ全部自作」「sourceryを使う」「deviseを使う」の関係は、ちょうどWebアプリを「ほぼ全部自作」「Sinatraを使う」「Railsを使う」という関係と似ているかと思います。どれも正解ではあるし、どれも正解ではありません。

何を言いたいかというと、結局作る物によるということです。特殊なことがほとんど無い通常の認証を作るのに自作でdeviseと同じ機能を実装するのは馬鹿げています。deviseであればほんの数回コマンドを叩くだけで同じ事ができるからです。逆に、通常とは異なるような認証を実装したいときに、deviseを使うことは茨の道でしょう。気付けば、ほぼ全ての部分でカスタマイズしていたなんてことがあるかも知れません。sorceryはその中間です。カスタマイズありとなしの両方をまかなえるかというとまかなえますが、逆に言うと中途半端とも言えます。

知っておくべきなのはそれぞれが何ができるのか、採用するにあたって利点と欠点は何なのかです。プログラミングにおいて「銀の弾丸」は存在し得ません。何をしたいかということから、自分でよりベターだと思う物を選択する以外ありません。まずはそれぞれについて知ることから始めると良いと思います。

なお、認証は、セキュリティに関する多くの事に考慮する必要があり、少しのコードで書けるような物ではありません。つまり、devise並のことをしたいなら、devise並のコード量になると言うことです。もし、自作ですっきり書けていると思うなら、きっとそれは、セキュリティの考慮が欠けていて、脆弱性をはらんだ認証の可能性があります。もし、Webアプリケーションのセキュリティに関して詳しくないのであれば、自作という選択は避けるべきです。少なくとも、deviseのコードを理解し、deviseがしていることを把握できるレベルでなければ、難しいと思います。