这是我想要做的:
我有使用 REST API 提供数据的服务器,但我只希望我的移动客户端(一个 APP)访问它。
我想使用一个类似的系统,用户可以在其中创建电子邮件/密码登录。之后,用户可以使用 API 访问某些数据。
OAuth2 是否适合使用?
或者我只是尝试创建自己的协议并为用户生成令牌。并让用户在所有 API 请求上附加一个令牌。 (这就是我感到困惑的地方。我可以为此使用 OAuth 吗?或者甚至需要这样做吗?如果没有,是否有标准的 HTTP 方法可以做到这一点?我也想使用刷新令牌,但我不确定是否我应该创建自己的方法。
【问题讨论】:
标签: node.js rest security oauth
OAuth2 可能是最好和最广泛使用的解决方案。我会同意的。
实施您自己的身份验证/授权协议几乎总是以灾难告终,除非您对密码学和底层协议有非常深入的了解。
【讨论】:
请注意,OAuth 不是 authentication 协议 - 这似乎是您需要的 - 而是 authorization 协议。您的服务器是请求 OAuth 提供者拥有的资源的客户端 - 这就是您需要的吗?我猜没有。
你更需要的是一个身份验证协议——通常通过在每个请求中发送一些令牌来工作——@Julian passport.js 提到的似乎正在做你需要的工作。
基本上远离实施自定义解决方案。您确实需要广泛的知识来实施可靠且安全的身份验证方案。
JSON 网络令牌可能也是可行的方法。
【讨论】:
如果客户端应用程序仅由您开发,则不需要 OAuth。仅当您希望允许第三方客户端应用程序以受限权限访问(您的服务的)用户数据时,才需要 OAuth。
相关问题:
但是,如果将来您可能希望允许第三方客户端应用程序访问您的系统,那么实施 Resource Owner Password Credentials Grant 可能是明智之举,它是 OAuth 2.0 流之一,来自为未来的可扩展性开始。
【讨论】: