Node.jsauthentication没有护照:是json的networking令牌可靠吗?

我正在使用MEAN堆栈,并希望确保某些路由具有经过身份validation的用户。 我一直在阅读JSON的networking令牌。 这似乎是合理的。

在我投入更多时间之前,我想询问是否有其他人使用它,以及是否有迄今为止注意到的任何主要缺陷。 除护照外,还有其他stream行的替代品吗?

JSONnetworking令牌有一些缺陷,如果处理得当,可以使这种方法对于执行授权非常有用:

  • 客户端仍然需要将用户凭证传输到authentication服务器,这意味着使用安全传输非常重要
  • 如果将敏感信息放入令牌中,则该信息应由客户端encryption并通过安全传输发送
  • 根据你构build令牌的方式以及你与谁共享令牌,令牌应该有一个有限的生命周期,防止其他人破坏令牌,因为它是一代,并可能将伪造的数据发送到服务器

除了passport ,还有其他一些基于cookie的身份validation的方法,但是我没有意识到任何集成和普及的方法,尽pipe我相信你可能会发现更有效的方法。 还有一些基于cookie的scheme的例子,你可以实现,例如SO的自动loginscheme 。

如果您想投入时间学习如何实施智威汤逊,那一定是值得的。 如果您试图评估您是否需要使用智威汤逊,一个好的经验法则是问自己是否有多个authentication服务器,您是否需要授权跨不同域的客户,以及您是否需要客户进行无状态/临时授权令牌。