仅限我的授权客户端应用程序限制API访问
我的客户端应用程序是使用REACT-REDUX构建的SPA,而后端API是具有快速框架的nodejs。
问题出在我的客户端应用程序中,人们可以在不登录的情况下访问信息,因此如何在不实际登录我的服务器API的情
我尝试使用Auth0但是对于单页Web应用程序身份验证只能通过登录来完成,有一个机器到机器的选项,但这不适合我的情况因为我的客户端应用程序是静态Web应用程序没有服务器来保存客户端ID。
我已经研究了几篇文章来解决这个问题,其中大多数建议隐式授权适用于我的情况,如果它真实如何在我的客户端和服务器中实现隐式授权。
回答如下:我用JWT实现了这个目标
成功登录时为客户端提供JWT令牌,每当他需要使用API时,他必须在头文件中使用它。
然后每个其他请求使用一个中间件验证此令牌,如果有效则让他继续,否则发送auth失败响应