我正在为移动APP构建API。但是,我还希望能够允许其他应用使用API。如果有人想要访问我的API,他们会请求与该公司关联的clientKey和clientSecret(正在使用api的人)。如果有人向我的API发出请求,给定客户端密钥,我知道哪个公司正在发出请求,并且我可以使用HMAC签名来检查真实性。如果请求有效,那么我将知道哪个公司正在发出请求,因此可以检查该请求是否对该公司有效(例如,公司只能管理自己的资源)。
我正在使用node + mongoose + passport(适用于常规应用用户登录)。
问题:
1)这看起来是一个好方法吗? 2)此计划中是否存在安全漏洞? 3)有没有人知道这样做的稳定节点模块? 4)欢迎任何其他想法
漫长的日子和愉快的夜晚