NodeJS中的无状态身份validation库
我相信RESTful API的最佳实践是无状态的。 我读了关于无状态身份validation的技巧,但并不完全清楚如何实现它(看起来像一堆令牌等)。 PassportJS是一个很好的authentication库,但它不是无状态的? 是否有某种types的库可以帮助我创build无状态API(带有身份validation)? 我想要使用像Google,Twitter等SSO(单点login),所以如果库为我处理(比如PassportJS),这将是很好的。
我目前正在开发一个REST API,并使用PassportJS Basic Auth(用于开发目的)而没有会话。 你可以告诉策略不要使用会话:
passport.authenticate( 'basic', { 'session' : false } ) passport.authenticate( 'bearer', { 'session' : false } ) passport.authenticate( 'token', { 'session' : false } )
在这里看到底部。
@fakewaffle是对的。 将会话设置为false,可以使护照无国籍。
我使用oauth2rize开发了一个Oauth2服务器。 https://github.com/jaredhanson/oauth2orize/ 。 我使用它提供访问令牌给客户端,然后与authorization头中的每个请求一起发送。 这些令牌存储在数据库中,因此是无状态的。
您当然可以使用其他提供程序来authentication用户并向客户端提供访问令牌。
Passport.js提供多个身份validation提供程序,可用于通过第三方提供程序(如Facebook,Twitter等)进行身份validation。以下链接指向Facebook身份validation提供程序http://passportjs.org/guide/facebook/ 。
这是回答这个问题,还是有其他的事情你想要做的?