晚上好
我想构建一个同时具有网站(最好是单页应用程序)和移动应用程序的应用程序,并且我已经为该应用程序开发REST API已有几个月了。目前,我正要实现用户注册和登录。我只是不知道如何进行身份验证/授权。我进行了一些研究,发现基于令牌的身份验证可能很适合我的需求,但是我只是想知道我还有哪些其他选择,以及应该在哪里存储访问/刷新令牌。在移动设备上,我只能使用操作系统的密钥库来存储令牌,但是SPA呢?我是否应该在浏览器中存储刷新令牌?
我希望为用户提供尽可能方便的功能,这意味着他只需要登录一次即可。我不介意再次要求输入密码以进行关键请求,例如更改密码,进行交易或删除帐户,类似于google和amazon的方式。
是否有人可以阅读有关此主题的文章,或者是否有任何线索如何为REST API实现身份验证(或一般来说是用户管理)?
非常感谢您的帮助!
注意:我正在使用NodeJS作为API。
注意:由于它也是SPA,我试图弄清楚twitter是如何为他们的网站做的,但是我却一无所获。也许有更多经验的人知道他们是如何做到的。