REST API安全性和CrossPlatform
我正在用node.js工作其余的api。 我在/注册端点中创build了jwt-token。 然后发送这个令牌每个iOS应用程序,Windows Phone应用程序请求Authoriziton头。 所以API试图find包含这个令牌的用户。 如果它已经返回响应。
我担心安全。 每个人都将监控创build用户的API地址,并获取令牌,然后使用此令牌的所有端点。 所以会发布数据到其他模式和应用程序无用数字,死亡。
如何防止这种情况? 本机iOS,Windows Phone应用程序和用于此API的网站。 处理安全性和用户pipe理的最好方式有点像跨平台应用程序的API? 这个结构是否有很好的文档?
有用户scheme。
var userSchema = mongoose.Schema({ token:String, favorites:[favorites], local : { username:String, email: String, password: String, sex:Number }, facebook: { id:String, token:String, email:String, name:String }, lists:[{listid:String,insertdate:Date}] }); 每个端点控制这样的授权
function ensureAuthorized(req, res, next) { var bearerToken; console.log(req.headers); var bearerHeader = req.headers["authorization"]; if (typeof bearerHeader !== 'undefined') { req.token = bearerHeader; User.findOne({'token':bearerHeader},function(err,currentUser){ if(err) res.json({success:false,description:err}); console.log("current" + currentUser); if(currentUser) { req.user = currentUser; next(); } else { res.status(403).end(); } }); } else { res.status(403).end(); } }
谢谢你们。