详细信息似乎很难找到。所以我的情况是具有用户名和密码的现有服务器。我添加了一个额外的couchdb服务器来管理移动应用程序的数据,但我仍然希望通过现有服务器处理所有身份验证。 所以我可以向现有服务器发送带有用户名和密码的HTTP请求,如果接受访问,我可以让它发回任何我想要的东西。然后,我如何使用该信息来验证couchdb服务器? 我想有可能从成功的身份验证中收到现有服务器的秘密,我们可以将其与我们手动存储在couchdb服务器上的身份相匹配。然而,这似乎并不安全。
我已经阅读了couchdb上的身份验证文档,但我仍感到困惑。有关身份验证系统的任何建议吗?
答案 0 :(得分:0)
我认为JWT身份验证正是您所需要的。有一个插件可以为您执行此操作:https://github.com/dmunch/couch_jwt_auth(存储库是一个分支,实现原始的附加功能以及与CouchDB 2.0兼容。)
基本上,您将用户名/密码发送到身份验证服务器,后者又会返回令牌(JWT)。您现在可以使用此令牌向CouchDB进行身份验证。 CouchDB通过使用共享密钥(HS256)或使用身份验证服务器的公钥来验证令牌的完整性。