私はモバイルアプリケーション(Ionic/Cordova)を構築しており、API(NodeJS)を呼び出すため、シンプルで効果的なユーザー認証方法を考え出しています。App/API認証アプローチのアドバイス
-
は、APIのみが
私は自分のHTML5/Javascriptアプリケーションを構築してAuth0を使用することができ、私が理解しようとしている部分は、ユーザーがログインしてそのアプリケーションがNodeJS APIを呼び出すときに、APIコードがそのユーザーを知るように設定する方法です。
Auth0にNodeJSパスポートモジュールを使用して、アプリからAPIにトークンを渡すだけで動作しますか?または、oauthメカニズムを構築するなど、API自体のさまざまな処理を行う必要がありますか?
このシナリオでAPIを保護する方法についてアドバイスをいただければ幸いです。私は理想的には、APIに独自の認証/トークンシステムを構築したくないのです。
ご回答いただければ受け入れてください。 – enRaiser
こんにちは、どのようにクライアントアプリケーションについての情報の後ではありませんでした。私はAPIをどのように保護するべきかを知りたい。クライアントアプリケーションがID_TOKENを十分に渡しているかどうかを確認するだけですか? –
あなたが保護することによって、あなたが認証されたことを意味するなら、はい。明らかにそれは私が上に書いた全体のものです。トークンはサインイン後に生成されます。それを攻撃するのは難しいです。 – enRaiser