标签: rest security authentication client-server
我正在Node中设计REST服务,我有一个认证和授权计划 - 但我不确定设计中是否存在无法预料的缺陷。
我有一个暴露在互联网上的中央API服务器。服务器还托管一个管理器应用程序(通过AJAX进行通信),但是根据要求与API分开进行身份验证。
我最初的想法是让服务器使用登录表单对用户进行身份验证,然后向用户发送一个令牌(当然是全部通过HTTPS),该令牌可以随每个请求一起发送到API服务器进行身份验证和授权。 / p>
这种方法有什么缺陷吗?