我有一个Web应用程序,在用户登录前后,我必须在其中调用一些API。我也想在登录之前确保通话安全。注册时就像SaveUserAPI,ForgotPasswordAPI一样。
我已使用JWT令牌机制登录后使用生成令牌,在随后的调用中,此令牌将用于API身份验证。
我应该如何进行SaveUserAPI和ForgotPasswordAPI调用,这些调用在用户未登录时会被调用?您可以提供一些有价值的建议来解决这个问题吗?
答案 0 :(得分:0)
如果您使用的是OAuth2,则可以为您的API生成两种身份验证机制。
然后,您可以在API上使用策略/范围来锁定注册,忘记密码类的API以使用客户端凭据,而其他api可以使用隐式/身份验证代码流。
我已经在SPA和移动应用程序所使用的后端API中做了同样的事情。
我的所有API均不允许匿名访问。这意味着应用程序需要授权和管理两个令牌,一个用于非用户端点,另一个用于用户链接的api。