我正在建立一个Android应用程序作为客户端和一个hapijs框架/ Mongodb作为我的后端
在我的应用程序中,大多数数据必须无需登录即可访问,当用户想要写一些内容时,必须登录并获得授权
我的安全问题是,如果我在没有登录的情况下不对API使用任何身份验证,可能会导致DDOS攻击或某些黑客强迫我的服务器执行额外的进程。
我认为解决方案是仅接受来自我的申请的请求,但我不确定这是否可行
我也不知道哪种PassportJS策略对我有好处。
答案 0 :(得分:0)
您可以使用passport-local npm模块在节点中进行身份验证,但对于未经身份验证的服务,您可以使用" API_KEY"并且还可以生成唯一的" API_TOKEN"仅授权来自您的应用程序的请求。