【问题标题】:Secure API calls using OAuth 2 data使用 OAuth 2 数据保护 API 调用
【发布时间】:2012-11-16 17:59:04
【问题描述】:

我有 2 个节点应用程序。 首先是用于 Mongo DB 的简单 RESTfull CRUD API。 其次是在服务器中具有 Google OAuth 2 访问权限的 Backbone 应用程序(为此我使用 passport.js)。

我想在 Mongo DB 集合中存储经过身份验证的用户以及一些附加信息,例如角色或 grantAccess 字段。第一个应用程序必须检查该用户是否有权访问数据。

问题是如何将有关用户的信息传递给我的 API,我需要发送哪些信息?我可以发送 oauth 令牌的散列副本,然后将其与来自 DB 或其他信息的散列文件进行比较吗?在这种情况下,最好的方法是什么?

非常感谢。

【问题讨论】:

    标签: node.js rest oauth-2.0


    【解决方案1】:

    有两种选择:

    • 在您的服务器上实现 oauth2。

    • 将您的 google 访问令牌存储在您的骨干网中,然后在每次请求时将访问令牌发送到您的安静的 crud。在服务器上获取访问令牌所有者的 id,在您的 mongodb 中查询已注册 google id 的用户,并获取他们的权限。

    我已经使用这种方法来验证我的应用程序(但使用 facebook),因为我认为您可以相信 facebook 或 google 的响应。

    【讨论】:

    • 谢谢!但是我如何获得所有者?我应该使用某种安全性将令牌发送到 API,还是可以将其包含在 url 中?
    • 我只是发送查询字符串,然后在服务器端初始化我的 facebook 库并设置我刚刚提供的访问令牌。出于安全考虑,请使用 ssl (https)。在 nodejs 上看看这个package
    猜你喜欢
    • 2020-07-22
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-14
    • 2015-02-07
    • 2019-01-14
    • 2016-01-09
    • 2020-07-24
    相关资源
    最近更新 更多