授权,令牌和Node.js

时间:2018-09-22 18:32:43

标签: node.js api security jwt

我正在考虑对我的应用进行授权。除了针对mongo数据库的JWT身份验证之外,我还希望为某些角色保护某些路由。我对OAuth或第三方服务

不感兴趣

我遇到的困难是在哪里存储角色。如果我查询数据库以进行身份​​验证并返回令牌,是否还应该返回有效负载中的角色?然后,在通过身份验证后,检查中间件是否进一步授权了用户?有人不能使用管理员权限重写令牌吗?

执行此操作的标准方法是什么?

这最终是api在前端提供角度应用的

谢谢

1 个答案:

答案 0 :(得分:0)

使用JWT signed token来执行此操作的标准方法,该方法由服务器上生成的服务器上的私钥签名,并将公钥发送给所有使用的客户端。如果有人更改了令牌中的主体,服务器将使用认证机构尝试通过其私钥以数字方式验证签名。由于此令牌与通过服务器签名发送的令牌不同,因此签名将永远不匹配。

此外,为了保护您的JWT token作为在线会话的一部分而被嗅探,您制定了CSRF/XSRF缓解策略