我是一个完整的初学者,刚刚开始学习 Web 开发。现在我问自己一些关于 REST API 的问题:使用身份验证保护 REST API 是否有意义?如果是这样,这样做的常见方法是什么?
我的印象是 REST API 就在那里,因为我们试图让许多不同的用户访问它们。现在我想编写一个小应用程序,它向 node.js 服务器发出请求并取回一些东西。全部通过 REST API。
但是,我不希望其他人能够向该服务器发出类似的请求。我怎样才能最好地保护这个?我在这里误会了什么大事吗?
【问题讨论】:
标签: node.js rest authentication authorization
不验证 REST API 意味着您允许每个人访问您的 REST 端点。对 REST API 进行身份验证并只允许特定用户访问 API 是一种更好的做法。 link 可能会帮助您开始。
【讨论】:
非常简单:当您提供服务时,您很可能只想允许某些经过身份验证的用户调用该服务。换句话说:可以让休息服务在没有任何身份验证的情况下工作——但这只是例外,而不是规则。
更常见的做法是,假设酒店只允许有钥匙的人进入房间。服务也是如此……
有很多方法可以做到这一点,请参阅here 了解起点。
【讨论】:
身份验证对于 REST API 很重要,因为您只希望某些用户通过 GET api 访问您的数据和/或能够通过 POST api 对您的数据库进行修改。 JSON Web Tokens(JWT) 是最常用的认证框架。这是一个very basic tutorial,关于如何使用 JWT 对节点 js API 进行身份验证。
【讨论】: