我正在构建一个使用node.js和express.js构建的JSON RESTful API,
API将由客户端AJAX调用(来自Ember.js)和本机Android移动应用程序(标准HTTP请求)访问。
我正在研究两件事:
1)身份验证 - 如何知道哪个用户正在访问API, 在开发中,我为每个用户使用了一个API密钥,并在请求标头中传递了它
2)安全性 - 如何确保只有真实身份验证的用户才能访问私有数据。
API密钥是本机移动客户端和AJAX调用的好策略吗? (用户将用户+传递给API并接收API密钥,然后用于创建其他请求)
我应该看看像OAUTH(1或2)这样的东西吗?我目前没有第三方应用程序访问API的计划,所以我不需要授权,但这可能在将来发生变化。
这是否意味着我需要拥有自己的OAUTH提供商服务器?
答案 0 :(得分:0)
您可以使用express.js会话进行正常身份验证,并使用存储在会话存储中的会话密钥。为了与非cookie REST调用兼容,您可以使用附加字段“mySessionId”,添加到查询或请求正文中。然后修改您的身份验证验证以检查该额外字段。 也许一个例子会更有用:
快递:
var server = express.createServer();
server.use(express.cookieParser());
server.use(express.session(sessionInfoObject));
server.get("/path/to/endpoint", function(request, response) {
if(typeof(request.query.mySessionId) != "undefined") {
// authenticate with the session id in mySessionId
// eg: if (getSession(request.query.mySessionId).isAuth) {}
}
else {
// session authentication, use request.session
// eg: if (getSession(request.query.mySessionId).isAuth) {}
}
});
如果您选择沿着此路径前进,请确保在对用户进行身份验证时,还会在会话中添加与用户相关的数据。它会让你的生活更轻松。例如:
if(authenticated) {
request.session.isAuth = true;
request.session.customId = customId;
}
还有其他选择,但这是我觉得最容易的选择。