我有一个简单的Express服务器,该服务器需要使用OAuth2向外部API服务器发出经过身份验证的请求。我正在使用client-oauth2来实现客户端凭证流。我的问题是将这种流集成到需要它的路由器上的最佳方法。我的最初方法是创建一个中间件功能,该功能将检查是否存在有效令牌,如果存在,则对请求签名,如果不存在,则尝试获取令牌并将其存储,然后对请求签名。这有意义吗?我应该在哪里存储令牌?
服务器提供了一个用React编写的静态Web应用程序,供最终用户访问。该应用程序向服务器发出本地请求,这可能会或可能不会触发对外部API服务器的请求。我正在服务器上使用会话,因此我可以在其中存储令牌,以确保每个站点用户都具有有效的凭据(整个应用程序中也存在一个单独的基于SAML的SSO身份验证流,但这并不影响习惯上为每个站点用户都具有唯一的OAuth令牌,即使使用客户端凭据并仅从服务器发出请求时也是如此?