我正在编写我的第一个 Express NodeJS 应用程序,我想知道关于身份验证中间件的最佳实践是什么?
我正在为每个新用户使用访问令牌和 cookie(由用户 ID 和一些随机字节组成),对于某些路由,我只希望用户可以访问它。
从中间件访问数据库是个好主意吗?或者我应该在哪里检查给定用户是否可以访问给定资源?
谢谢!
【问题讨论】:
标签: node.js authentication express middleware
为 nodejs 应用程序的身份验证目的构建了许多模块。但是,nodejs/expressjs 最常用的模块是Passport。
如果您希望与此类库保持隔离,nodejs 具有用于加密等的内置库,例如,请查看this out。
对于会话和 cookie,使用签名的 cookie 始终是一个好习惯。查看this SO 帖子。在整个开发过程中遵循了许多维护安全性的良好做法(例如,通过 http 使用 https、token based authentication 等),您将在继续学习时了解这些做法。 Here 是 JWT(JSON Web 令牌)的简短教程,它很好地介绍了 JSON 中基于令牌的身份验证,您可以查看。
快乐编码:)
【讨论】: