Я создаю мобильное приложение (Ionic/Cordova), и оно будет вызывать API (NodeJS), и я пытаюсь создать простой и эффективный подход к аутентификации пользователей, который может быть как:Советы по подходу к проверке подлинности API для приложений/API
- Вход пользователя в мобильное приложение и
- защитить API, так что только знаковое пользователи могут называть API
- АНИ может определить, какой пользователь звонит его
В идеале я бы использовал что-то ли ke Auth0, чтобы подписать пользователя в приложение, потому что я не хочу иметь дело с паролями и т. д.
Поэтому я понимаю, что могу создать свое приложение HTML5/Javascript и использовать Auth0, и он будет регистрировать пользователя в приложении, но часть, которую я пытаюсь понять, - это как ее настроить, поэтому, когда пользователь входит в систему, а приложение вызывает NodeJS API, код API будет знать, кто такой пользователь?
Могу ли я использовать модуль паспорта NodeJS для Auth0 и просто передавать токены из приложения в API и, как магия, он будет работать? Или мне нужно сделать что-то другое в самом API, например, создать механизм oauth?
Любые рекомендации по защите API в этом сценарии будут оценены. Я в идеале не хочу создавать свою собственную систему аутентификации/токена в API.
Примите, пожалуйста, ответ, если он сработает для вас. – enRaiser
Привет, не было после получения информации о том, как клиентское приложение. Я хочу знать, как я должен защищать API. Просто проверяет, что клиентское приложение достаточно пропускает ID_TOKEN? –
Да, если по защите вы имеете в виду аутентификацию. то, очевидно, это то, что я написал выше. токен генерируется только после входа в систему. Его трудно атаковать. – enRaiser