都说 basic auth + https 做 api 安全是不够的,大侠们都是用什么方法进行 Web API 的安全工作的?
网上找了很久,基本上市基于 oauth1/2,或者基于 token 的。
oauth 好像都是需要第三方的网络服务,比如微博、qq、Facebook等,不是建立于自身的服务之上。
已 token 为基础的,好像没有找到很好的常用的工具和包,自己编写还不是很有经验。
请多指教!!
5 回复
jsonwebtoken ? express-jwt ? passport ?
OAuth2 也可以自己建授权中心啊。。 https://www.npmjs.com/package/node-oauth2-server
关于授权,基本上大部分方案 passport 都有支持,看一遍文档,也就对常见的方案有一个概览式的了解了
passport 目前真没有对本地作为服务的token部分. 很坑, 网上所有的passport插件都是作为验证的部分
问的点不够具体啊。简单说下思路仅供参考。 1.写个中间件解析token出当前请求对应得用户和角色。没有token的可以认为角色是$unauthed 2.自己根据自己需求搞一张ACL的表出来,根据路由检查权限。不在权限之内,直接denied