Nodejs + Hapi + SSL/TLS + OAUTH2 + JWT 作为承载

【问题标题】:Nodejs + Hapi + SSL/TLS + OATH2 + JWTs as BearerNodejs + Hapi + SSL/TLS + OAUTH2 + JWT 作为承载
【发布时间】:2016-01-09 23:11:18
【问题描述】:

我想要完成的是尽可能多地创建一个写在 NodeJS 上的安全 API,它必须在移动设备上使用。

我们从 Comodo 购买了一个 SSL 证书,用于具有多个子域的单个域,证书由我的 VPS 安装和配置提供者。

我试图找到一些集成 nodejs + hapi + oath2 与 JWTs + SSL/TLS 的 tuts强>。

【问题讨论】:

  • 为什么同时使用 SSL/TLS 和 OAuth2 + JWT。似乎是三因素身份验证。这是降低服务器性能。尽量使用一个。
  • SSL/TLS 不是关于身份验证,而是关于传输层安全。无论身份验证方法如何,都应始终使用 SSL/TLS。

标签: node.js api ssl jwt hapijs


【解决方案1】:

对于 Hapi 中的 JWT 身份验证,您可以使用hapi-auth-jwt2。还有一些其他的 JWT 插件,但这似乎是最成熟的一个。有关如何配置它的文档和示例,请参阅他们的 Github 页面。

要设置 SSL/TLS/HTTPS,您可以查看示例 here。基本上,您设置了两个 Hapi 连接:一个带有用于 HTTP 流量的端口,一个带有用于 HTTPS(即 SSL/TLS)流量的端口。

另外,我推荐阅读dwyl's introduction on JWT(有很多这样的介绍,但是这个简短易懂,恕我直言)。

【讨论】:

  • 感谢您的回答,但这个问题是 6 个月前提出的。 1. 我们使用的方法是 nginx 通过 SSL/TLS 处理流量和通过 localhost http 到 nodejs 服务器的代理请求。 2. 第一个授权服务器(oauth2 服务器使用为 express 编写的 oauthjs/node-oauth2-server) 3. 第二个资源服务器(我们在 hapi 上编写的主要 Web 服务) 4. 在 hapi 服务器上使用一个简单的库来解析 JWT 令牌。
猜你喜欢
  • 2014-01-14
  • 1970-01-01
  • 2014-12-11
  • 1970-01-01
  • 2020-11-03
  • 2016-06-04
  • 2017-03-07
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode