我正在寻找实施客户端 - 服务器身份验证(本地+社交)的最佳做法。 现在我正在开发后端&前端分开。早些时候我通过下一个流程做了auth:
登录 - >接收令牌 - >打电话给api
我还需要找到一种方法将令牌添加到黑名单中。 技术堆栈:node.js(风帆) 前端:角度
此外,应该可以使用前端应用来调用多个服务器的api。这意味着前端应用程序应该只在主服务器上登录一次,并且可以调用另一个api。
我开箱即用于开箱即用的解决方案。
答案 0 :(得分:1)
如果您使用JSON Web令牌(JWT)作为令牌:您可以在令牌中添加唯一的随机值作为jti声明。您将这些jti值存储在数据库中,并将其用作黑名单。
如果您想阅读有关使用API的单页应用的JWT最佳做法,请参阅我就此主题撰写的博文:Token Based Authentication for Single Page Apps
关于开箱即用的解决方案:我在Stormapth工作,我们在Stormpath Angular SDK中有这样的解决方案。