我正在SPA中寻找一个良好的身份验证过程
我认为,炫化者所描述的过程in this question似乎很好,但是the article his answer中{{3}}所提出的那些thierry templier的过程似乎更复杂,因为它使用'mac_key','refresh_token'等等。
仅使用登录ID,密码和访问令牌进行身份验证还不够吗?我不打算让API启用跨源请求
答案 0 :(得分:2)
是的,您只需更换用户名&访问令牌的密码。这是Resource Owner Password Credentials Grant。这确实是保护单页应用程序(SPA)的最简单方法。
我建议将JWT用作令牌格式,将HTTPS-Only cookie用作安全存储机制。我在最近的博客文章Token Based Authentication for Single Page Apps
中介绍了这些主题免责声明:我在Stormpath工作。我们一直在使用SPA进行大量工作,我们在Stormpath Angular SDK
中提供了用于令牌身份验证的全栈JavaScript解决方案