将令牌传递给我的Angular 4应用程序的优雅方式是什么?

我有以下实现:

前端 :localhost:4200(这是Angular应用程序)

后端 :localhost:3000(这是我的REST API在Node.js&Express上运行)

步骤1.在Angular应用程序中,用户点击一个链接,将其redirect到我的REST API(localhost:3000 / auth / steam)。

第2步。我的REST API将他redirect到他login的OpenID Provider(Steam)。

第3步。成功login后,OpenID Provider将用户redirect到用户数据和我的后端服务器。 我的后端服务器将这些数据保存在数据库中,并创build一个包含用户数据的JWT(JSON Web令牌)。

第4步。将用户与令牌一起redirect到前端…

这是我不知道什么是一个优雅的方式来做到这一点的部分。 我想传递的标记作为URL参数(?标记= …),但这将是有点不安全,因为该标记将在URL中可见。

有没有更好的方法呢? 谢谢 :)

我认为最好的办法是将它发送到Http Headers 。 最好的方法是使用http请求的HttpClientModule 。 这个模块也提供了下面的Interceptorfunction: 

 providers: [ ... { provide: HTTP_INTERCEPTORS, useClass: AuthInterceptor, multi: true } ] export class AuthInterceptor implements HttpInterceptor { constructor(private authService: AuthService) {} intercept(req: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> { const copy = req.clone({headers: req.headers.set('Authorization', this.authService.getToken())}); return next.handle(copy); } }
Interesting Posts

在GraphQL服务器中实现访问控制的好模式是什么?

根据MongoDB检查login凭据不起作用

成功login后,Azureauthentication返回到login页面 – node.js

Node.js中使用http.client进行摘要式身份validation的问题

Android Facebooklogin和服务器端身份validation

Node + Express:根据页面和用户types的多种authentication策略

简单的RESTauthentication策略?

如何保护TCP连接 – nodejs?

卫星然后authentication后不叫

node.jsauthenticationphp auth_user