【发布时间】:2014-07-06 02:39:18
【问题描述】:
我想知道是否有任何 Node/Express 专家可以就我试图实现的以下场景是否可能给我一些建议。我想是的,我只是有点不确定解决问题的最佳实践方法。
我目前正在构建一个受保护的小型客户端。要访问以下内容,必须执行以下步骤:
- 在表单中输入姓名 + 电子邮件地址,然后通过电子邮件将此数据发送给管理员。
- 电子邮件将包含一个预建链接,其中包含输入到字段中的数据的查询参数。该链接将在查询参数之前有一个 API URL。
- 当点击链接时,将执行一个 API 请求,该请求获取查询参数(主要是电子邮件地址)并授予该电子邮件地址在特定时间段(例如 2 小时)内对客户端的访问权限。
- 客户将转到 subdomain.domain.com,输入他们的电子邮件地址(经过验证以检查管理员是否已批准该电子邮件地址)并可以访问该客户 2 小时。还会有一个带有剩余会话长度的计时器。
我可以处理其中的大部分,但我想我会让您深入了解我正在努力实现的目标。我有疑问的部分是第 3 节,并在特定时间段内为客户提供电子邮件地址访问权限。我不希望涉及任何密码,那么对此最安全、更明智的解决方案是什么?我必须使用令牌吗?
我将使用 Express 构建服务器端,除非出于某种原因我必须使用 Node。
提前致谢!
【问题讨论】:
标签: javascript node.js authentication express