我正在为前端创建API,但是我很难找到满足基本Node.js / Express授权需求的最简单解决方案。我已经有身份验证,但是我想保护特定的API路由。
案例: 用户只能获取(和编辑)它自己的个人资料,因此他不能获取别人只是提供电子邮件地址的信息
我已经阅读了有关会话和JWT的文章。不确定如何走-我不需要花哨的东西,只是可以保护用户数据免遭未经授权的用户获取的东西。
我正在使用MariaDB和本地身份验证策略(电子邮件/密码)。
答案 0 :(得分:0)
如果您已经实施了本地身份验证策略,我将为您想要保护的API资源添加JWT。护照库很容易。
使用JWT,您可以获取正在发送请求的用户,并进行所需的所有安全检查。