TL; DR
我已经构建了oAuth消费者应用程序,它们登录用户,所以我不太担心应用程序逻辑。我们可以使用passportjs。但是我们如何设置应用程序连接的oAuth服务器,之后它们被清除以访问API上的端点(这是一个完全不同的应用程序)
设定:
- 一个大的REST API(用NodeJS编写,在快速框架上)
- 正在开发的2个与API相关的应用
- 使用相同API的管道中的数十个应用创意
身份验证要求:
- apps使用oAuth对用户进行身份验证
- 应用具有各种授权级别,可以访问API的某些角落
- 用户可以登录,如果他们想使用他们的谷歌帐户(大多数用户都有公司谷歌帐户,并需要通过它进行身份验证。某些外部用户可以手动使用他们的谷歌或身份验证)
我目前使用不同的模块和身份验证系统设置了几个概念证明,例如oauth2orize和oauth通过社交平台passportjs
但此时我非常确定:
- 我们想要oauth,并且需要设置我们自己的oauth服务器,所有应用程序都可以对其进行身份验证
- 应用程序仍然可以使用passportJS连接自制的oAuth服务器
我还不清楚
- 我们如何让用户使用他的Google帐户登录应用,让他可以访问REST API的某些部分。