Tôi đang tạo một máy chủ API REST với Node.js và Express + MongoDB. API này sẽ có các ứng dụng khách di động khác nhau (iOS, Android) và có thể là một ứng dụng web sau này. Tôi cần người dùng đăng nhập để thực hiện một số yêu cầu API. Không có ứng dụng của bên thứ ba mà tôi muốn kết nối (không có Facebook, Google, v.v.). Tôi cũng không muốn ép buộc người dùng truy cập trang web hoặc bất kỳ thứ gì tương tự để họ đăng nhập. Từ những gì tôi đã nhìn thấy trên nhiều tìm kiếm của tôi trên SO, cách tiếp cận tốt nhất là cho phép người dùng đăng nhập bằng thông tin đăng nhập đầy đủ một lần, gửi lại mã thông báo và sử dụng mã thông báo đó để xác minh yêu cầu trong tương lai cho đến khi hết hạn.Chiến lược xác thực cho REST API và ứng dụng di động
Tuy nhiên, tôi không chắc chắn cách triển khai điều này. Tôi rất bối rối với tất cả các chiến lược khác nhau. Việc này có được thực hiện với xác thực cơ bản qua HTTPS, với OAuth, OAuth 2.0, ... không? Tôi chỉ không biết phải sử dụng cái gì. Ngoài ra, tôi thực sự không muốn phát minh lại bánh xe ở đây, không phải vì tôi lười biếng, mà chủ yếu là vì những lo ngại về bảo mật. Có một thư viện tôi có thể sử dụng để thực hiện điều này? Tôi đã nghe nói về Hộ chiếu, nhưng tôi không thể hiểu được nếu điều này là doable hay không. Điều này nghe có vẻ giống như một điều chung chung tôi chắc chắn có một giải pháp đơn giản ra khỏi đó.
Cảm ơn!
Hãy thử: http://stackoverflow.com/questions/17397052/nodejs-passport-authentication-token –
Tốt hơn nên yêu cầu các đề xuất về phần mềm và thư viện trên [Software Recommendations Stack Exchange] (http: //softwarerecs.stackexchange. com /). –