我对后端开发有点陌生,想从创建一个具有身份验证和授权的小型API开始,该API可以用作博客的API,以实现不同的前端实现。
我使用ExpressJS和MongoDB设置了一个API,并创建了一个有效的API,因此我可以发布博客文章,检索所有或单个博客文章等。
现在,我想添加身份验证,而不是使用JWT或其他东西,我认为,让用户通过其Google帐户登录以发布/删除博客帖子等可能很酷。这是否还有意义?我希望这样做是因为,在我看来,它与使用JWT的区别不应该太大。
我添加了password.js文件,它是google-oauth2策略。
我已经能够通过google登录来创建用户,但是我的问题出在为登录和后续API请求正确验证身份的方式上。
我会使用我从Google那里收到的访问令牌和刷新令牌吗?至少那是我首先想到的。
但是那将如何工作?接下来:如果我想添加另一种身份验证方法,该怎么办?例如JWT或Facebook-OAuth?尝试保护我的API路由时,这不会引起一些问题,因为我将使用不同的身份验证方式(然后我将对路由使用哪种中间件?)
我希望我能解决我的问题:)