我正在编写一个REST API(Node.js),它将由移动应用程序(React Native)使用。该应用程序将要求用户使用凭据进行登录,该凭据应用于根据API进行身份验证。我还需要该应用程序记住用户已登录,以便在每次打开该应用程序时都不会强迫他们重新登录。
在不使用第三方身份验证/授权提供程序(例如Auth0,Okta等)的情况下进行此身份验证的最佳做法是什么?
我怀疑我需要将某种OAuth2 / OpenID Connect实现与JWT一起使用,并将隐式授权流程与PKCE一起使用。问题是,据我了解,这将要求我要么推出自己的OAuth服务器,要么购买第三方的OAuth服务器(即上述服务之一)。
我是否可以通过自己的发布JWT令牌的API来执行此操作?如何在其中添加PKCE,以及如何使用移动应用程序处理刷新令牌?流行的移动应用如何做到这一点?
我们将不胜感激任何帮助或指向相关教程。我能找到的要么是上述第三方提供商提供的促销材料,要么是似乎并非绝对安全的东西。