我的客户端应用程序是使用REACT-REDUX构建的SPA,后端API是具有快速框架的nodejs。
问题出在我的客户端应用程序中,人们无需登录即可访问信息 那么如何在不实际登录服务器API的情况下验证我的客户端应用程序。
我尝试使用Auth0,但是对于单页Web应用程序身份验证仅通过登录来完成,机器之间可以选择机器对机器进行选择,但这不适合我的情况,因为我的客户端应用程序是静态Web应用程序,没有服务器可以保存客户端ID。
我研究了很少的文章来克服这些隐患,如果隐式授予确实适用于我的客户端和服务器中实现隐式授予的方式,则大多数隐式授予适用于我的情况。
答案 0 :(得分:0)
我已经使用JWT
在成功登录后为客户端提供一个JWT令牌,每次需要使用API时,他都必须在标头中使用它。
然后每个其他请求都使用中间件来验证此令牌(如果有效,则让他继续进行,否则发送身份验证失败以作为响应