Я использую паспорт js для защиты конечной точки API, просто используя HTTP-Basic / Digest. https://github.com/jaredhanson/passport-http. Это нормально, но я понимаю, что OAuth 2.0 является наиболее безопасным на данный момент, поскольку требует делегирования проверки подлинности внешней службе (Google, Twitter, Facebook и т. Д. c ..)
Однако большинство из Учебники, которые я нашел по использованию этих стратегий OAuth2 на основе провайдера, больше подходят для подхода с единым входом в приложение. Шаблоны, в которых участвует сеанс. Многие из этих руководств добавляют функциональность «вход в систему с помощью учетной записи Facebook», которая перенаправляет пользователя в FB, а затем перенаправляет обратно в приложение.
Но меня не интересует приложение SSO на основе сеанса с функциональностью входа / выхода. Я просто хочу знать, смогу ли я защитить конечные точки API, полагаясь на Google, FB и др. c ..
http://www.passportjs.org/docs/other-api/ перечисляет стратегии для защиты конечных точек. Обратите внимание, что в нем не указаны службы, основанные на внешнем поставщике.
Полагаю, я бы предположил, что клиенты сначала получают токены от какого-либо внешнего поставщика, а затем передают указанный токен моему API, и паспорт может аутентифицироваться на который. Любые идеи о том, как это может работать, или это не рекомендуется?