私はWebアプリケーションとAPIプロバイダの両方として使用したいnodejsアプリケーションを作成しています。ユーザーが認証されると、そのユーザーに後続の要求に使用されるトークンを割り当てたいと考えています。これは、セッション内のトークンを使用してユーザーをシリアライズおよび逆シリアル化するだけで、Webアプリケーションのパスポートとうまく動作します。ただし、APIリクエストに応答する場合、セッション情報を保存するよう設定するクッキーはありません。理想的には、パスポートはセッションと要求本体の両方でトークンを探します。これを達成するためにパスポートを構成する方法はありますか?nodejsパスポート認証トークン
65
A
答えて
124
すべてのリクエストでアクセストークンを使用してください。セッションを使用する必要はありません。次のワークフローです:
POST /signin
- ユーザ名とパスワードは、クライアントのリクエストに掲載されています。
- サーバーは、パスポートのローカル戦略を使用してユーザーを認証します。 passport-localを参照してください。
- 資格情報が有効なユーザーを表している場合、サーバーは一部のジェネレータによって生成されたアクセストークンを返します。 node-jwt-simpleは良い選択です。
- 資格情報が無効な場合は
/signin
にリダイレクトしてください。
クライアントが認証サーバーからアクセストークンを受信すると、クライアントはサーバー上の保護されたリソースに要求を送信できます。たとえば:
GET /api/v1/somefunction?token='abcedf'
- クライアントは、トークンの引数を持つ一部のサーバーAPIを呼び出します。
- サーバーは、パスポートのベアラー戦略を使用してトークンを認証します。 passport-http-bearerを参照してください。 bnuheroとして
参照
Make a secure oauth API with passport.js and express.js (node.js)
7
(そのアプローチは、あまりにもそのメリットを持っているが)あなたがセッションを必要としない言及しています。ここでは、私がこれから始めているボイラープレートプロジェクトを紹介します: https://github.com/roblevintennis/passport-api-tokens
これは代替案です。素敵な相互参照されることがあります。 http://scotch.io/tutorials/javascript/easy-node-authentication-setup-and-local
そして、1つの以上の基準関連: http://mherman.org/blog/2013/11/11/user-authentication-with-passport-dot-js/
関連する問題
- 1. パスポート認証付きnodejsエクスプレスアプリhttps
- 2. NodejsパスポートNodejsパスポートを使用して
- 3. HTTP認証トークン
- 4. "+"の認証トークン
- 5. Facebook iOS SDKとパスポート - フェイスブック認証
- 6. ldap nodejsアクティブディレクトリ認証
- 7. トークン認証とCookie
- 8. WCFカスタム認証 - トークン
- 9. REST API認証トークン
- 10. Java認証でのGoogle認証httpトークン
- 11. Emberシンプル認証トークン認証ツール
- 12. nodejs +パスポート+ express 3.0 + connect-flash no flashing?
- 13. nodejsとのGoogle認証
- 14. Nodejs安らかな認証
- 15. Rails認証トークンとFacebook
- 16. Azure Web APIの認証トークン
- 17. Spring Security 3.2トークン認証
- 18. Facebook - 認証トークンのセキュリティ?
- 19. トークン認証の実装
- 20. DjangoでのURLトークン認証
- 21. C2DM認証トークンの確認 - Android/Urban Airship
- 22. パスポートの検証方法は?
- 23. 新規ユーザー登録直後のパスポート認証
- 24. 関数内のパスポート。認証が機能しない
- 25. NodejsまたはExpressJS Windows認証
- 26. トークンを使用したサービスベースの認証
- 27. Rails:ゼロからのトークン認証
- 28. RESTサービスでの認証トークンのポイント
- 29. Facebook認証トークンを管理する
- 30. トークン認証されたユーザーと
はこのためにすっごくありがとうございました。何らかの理由で私はOAuthがこれ以上複雑になる必要があると考えました。 – SomethingOn
偉大な説明 – Omar
トークンの生成に関して、期限切れのない1つのトークンを持つことは安全ですか?トークンの有効期限を切って新しいトークンを生成する必要がありますか? – sanfilippopablo