保护 nodejs/express/passport 的 REST api

【问题标题】:securing a REST api for nodejs/express/passport保护 nodejs/express/passport 的 REST api
【发布时间】:2014-02-17 00:38:46
【问题描述】:

所以我们已经准备好在 nodejs 中的应用程序,并在 express/nodejs 之上使用护照作为身份验证框架来实现。路由被设计为 REST API。

现在,请求将路由作为 REST API 提供给非浏览器客户端。

当我们的应用已经很好地与护照进行身份验证配合使用时,我将如何实现这一点?可以用护照吗?还是其他框架,例如 Oauth?它们是否兼容,或者我是否需要拆除护照代码才能使用 Oauth 实施?

目前找不到相关信息。

【问题讨论】:

  • 我见过这个stackoverflow.com/questions/15496915/…,但我在接受的解决方案中不明白的是,api 令牌和会话令牌是否也适用于浏览器请求或仅适用于 API 消费者。如果是后者,这如何与护照实施共存?

标签: node.js rest express passport.js


【解决方案1】:

我不熟悉 passport.js,但大多数基于浏览器的服务器应用程序都使用会话进行用户身份验证。对于使用令牌对请求进行身份验证的非基于浏览器的 REST 客户端,通常情况并非如此。

实现了一个 Oauth 服务器来向不同的客户端发出令牌,并且这些令牌随每个请求一起发送。 SSL 用于保护这些令牌。在您的情况下,您可以为 REST 客户端添加 Oauth 中间件,同时具有与基于浏览器的应用程序相同的端点。

【讨论】:

    猜你喜欢
    • 2015-06-11
    • 2019-08-13
    • 1970-01-01
    • 2014-09-21
    • 2018-04-28
    • 1970-01-01
    • 2012-08-29
    • 2021-10-19
    • 2019-06-03
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode