这是一个开放式问题,所以我很抱歉。我会尽力保持具体。
我有一个基于 Express 的 REST API(实际上使用 Sails.js)。在前端,我有一个 Angular2 应用程序,它由一个非常轻量级的 Express 应用程序提供服务。前端对后端 (API) 进行 HTTP 调用。
任何人都应该能够在不通过 CAS 身份验证的情况下访问前端或后端。我使用 cas-authentication 模块在前端实现了 CAS 身份验证 - 没问题。但是,API 仍然没有受到保护。
我正试图弄清楚如何保护后端。我已经实现了只允许来自白名单域的请求的 CORS 保护。但是,这似乎还不够。
我假设我需要将身份验证令牌与每个 REST 请求一起发送到后端。我只是不知道如何获得那个令牌。
我们将不胜感激。
【问题讨论】:
标签: node.js angular express sails.js cas
为了保护您的无状态 API,您可以使用 passportjs 和 passport-http-bearer 策略来实现不记名令牌。然后设置(或实现您自己的)分发令牌的服务(请参阅https://github.com/jaredhanson/oauth2orize)。您可以实现完整的 oauth2 规范并交换代币授权,或者更简单的方法可能是:
当用户使用用户名/密码进行身份验证,然后将其发送到生成令牌(例如 255 个字符)的服务时,按用户存储令牌。您可以在此处为不同的授权/权限授予不同的授权,但我假设用户是用户。
添加一个护照持有者策略,该策略实质上是查找令牌,检查其有效性
添加一个策略来调用 passport.authenticate ('bearer'... 以检查您的令牌 - 它会查看不记名令牌的授权标头,然后根据数据库检查它并找到合适的用户 - 否则拒绝(401、返回登录等)
要求对您要保护的所有方法(登录除外)采用上述策略
任何受保护的方法都需要一个带有有效承载令牌的身份验证标头,例如Authorization: bearer kj233kj42kdskfksaj_lots_of_letters_and_numbers_ak3k29asd32kad
我希望这可以帮助您入门。
【讨论】: