Question

Мое клиентское приложение - это SPA, созданное с помощью REACT-REDUX, а внутренним API - это nodejs с экспресс-каркасом.

Проблема в том, что в моем клиентском приложении люди могут получить доступ к информации без входа в систему, так как проверить подлинность моего клиентского приложениябез фактического входа в мой сервер API.

Я пытался использовать Auth0, но для одностраничного веб-приложения аутентификация выполняется только через вход в систему, есть опция для машины к машине, но это не подходит для моего случая, потому что мойклиентское приложение является статическим веб-приложением, нет сервера для сохранения идентификатора клиента.

Я изучил несколько статей, чтобы избавиться от этого. Большинство из них предполагают, что неявное предоставление подходит для моего случая, если это правда, как реализовать неявное предоставление в моемклиент и сервер.

Vinil Prabhu · Answer 1 · 21 февраля 2019

Я добился этого, используя JWT

Предоставьте клиенту токен JWT при успешном входе в систему, который он будет использовать в заголовке каждый раз, когда ему понадобится API.

затем каждый второй запрос использует промежуточное программное обеспечение для проверки этого токена, если он действителен, разрешите ему продолжить, иначе отправка аутентификации не удалась в ответе

Ограничить доступ к API только для моих авторизованных клиентских приложений

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Ограничить доступ к API только для моих авторизованных клиентских приложений

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов