Node.jsauthentication没有护照:是json的networking令牌可靠吗?
我正在使用MEAN堆栈,并希望确保某些路由具有经过身份validation的用户。 我一直在阅读JSON的networking令牌。 这似乎是合理的。
在我投入更多时间之前,我想询问是否有其他人使用它,以及是否有迄今为止注意到的任何主要缺陷。 除护照外,还有其他stream行的替代品吗?
JSONnetworking令牌有一些缺陷,如果处理得当,可以使这种方法对于执行授权非常有用:
- 客户端仍然需要将用户凭证传输到authentication服务器,这意味着使用安全传输非常重要
- 如果将敏感信息放入令牌中,则该信息应由客户端encryption并通过安全传输发送
- 根据你构build令牌的方式以及你与谁共享令牌,令牌应该有一个有限的生命周期,防止其他人破坏令牌,因为它是一代,并可能将伪造的数据发送到服务器
除了passport
,还有其他一些基于cookie的身份validation的方法,但是我没有意识到任何集成和普及的方法,尽pipe我相信你可能会发现更有效的方法。 还有一些基于cookie的scheme的例子,你可以实现,例如SO的自动loginscheme 。
如果您想投入时间学习如何实施智威汤逊,那一定是值得的。 如果您试图评估您是否需要使用智威汤逊,一个好的经验法则是问自己是否有多个authentication服务器,您是否需要授权跨不同域的客户,以及您是否需要客户进行无状态/临时授权令牌。
- 同构应用程序中的用户configuration文件
- 如何访问passport.deserializeUser中的node-orm2 Express中间件
- LTI使用Node.js启动身份validation
- 用户注销:将GETredirect到POST(Node / Express)
- 使用快递服务静态文件时,不能使用基本身份validation
- 如何识别Socket.IO(通过socketio-auth)成功的身份validation?
- 最安全的node.js / expressauthentication机制
- 如何使用客户端模板的护照js?
- node.js:在获取请求成功validation后,提供文件(特别是apk)