我正在尝试使用restify.js构建RESTful api,但我不想向所有人公开api。我将使用基于令牌的身份验证。我心中的过程是这样的,我不确定它是否合理。
用户向api发送用户名/密码以获取令牌。
此令牌应包含在每个其他API的调用请求中。
如果这是合理的,我可以使用任何node.js库吗?
此外,我如何保护令牌?如果有人用令牌拦截了http请求,那么该人将获得api url和令牌。然后他可以按照自己的意愿发送请求。有没有办法避免这种情况?
非常感谢!
答案 0 :(得分:24)
Restify与authorizationParser
插件捆绑在一起。 authorizationParser
解析Authorization
req.username
。当插件正在使用时,它将使req.authorization
和{
scheme: <Basic|Signature|...>,
credentials: <Undecoded value of header>,
basic: {
username: $user
password: $password
}
}
属性可用。后者的格式是:
var restify = require('restify'),
server;
server = restify.createServer();
server.use(restify.authorizationParser());
server.use(function (req, res, next) {
var users;
// if (/* some condition determining whether the resource requires authentication */) {
// return next();
// }
users = {
foo: {
id: 1,
password: 'bar'
}
};
// Ensure that user is not anonymous; and
// That user exists; and
// That user password matches the record in the database.
if (req.username == 'anonymous' || !users[req.username] || req.authorization.basic.password !== users[req.username].password) {
// Respond with { code: 'NotAuthorized', message: '' }
next(new restify.NotAuthorizedError());
} else {
next();
}
next();
});
server.get('/ping', function (req, res, next) {
res.send('pong');
next();
});
server.listen(8080);
您的服务器需要有选择地拦截需要身份验证的请求并验证用户访问凭据。
以下是需要对所有呼叫进行身份验证的示例服务器:
$ curl -isu foo:bar http://127.0.0.1:8080/ping
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 6
Date: Fri, 12 Dec 2014 10:52:17 GMT
Connection: keep-alive
"pong"
$ curl -isu foo:baz http://127.0.0.1:8080/ping
HTTP/1.1 403 Forbidden
Content-Type: application/json
Content-Length: 37
Date: Fri, 12 Dec 2014 10:52:31 GMT
Connection: keep-alive
{"code":"NotAuthorized","message":""}
最简单的测试方法是使用curl:
var restify = require('restify'),
client;
client = restify.createJsonClient({
url: 'http://127.0.0.1:8080'
});
client.basicAuth('foo', 'bar');
client.get('/ping', function(err, req, res, obj) {
console.log(obj);
});
Restify附带支持基本身份验证的内置JsonClient,例如
{{1}}
如果您更喜欢令牌身份验证,那么您可以使用实现restify-oauth2身份验证流程的Client Credentials包,这就是您所追求的。
文档页面逐步介绍了如何设置此类身份验证,包括每个端点的角色,以及其存储库中有code example。
<强>摘要强>
无论您选择哪种身份验证方法,所有这些方法都要求您使用HTTPS。不同之处在于,如果用户名/密码被泄露,用户将需要更改其凭据。如果令牌被泄露,则用户需要请求新令牌。后者可以通过编程方式完成,而前者通常依赖于硬编码值。
旁注。在生产中,必须考虑凭证和#34;妥协&#34;如果通过不安全的通道至少转移一次,例如受损的HTTPS,如SSL错误,例如Heartbleed。