Question

Я создаю REST API сервер, который генерирует (или извлекает из Db, если он уже существует) токен доступа 32 char и возвращает его после входа в систему, а затем каждый раз, когда пользователь хочет что-то сделать, он / она должен отправить access token в заголовке и что бы он / она ни захотел сделать в теле, и при каждом запросе сервер проверяет действительность токена доступа, затем отвечает пользователю and token are valid only for a day if user wont sign out

так мне интересно, это безопасный метод для аутентификации пользователей? Есть ли способ сделать его более безопасным?

front_end_dev · Answer 1 · 30 октября 2018

Вы можете добавить промежуточное программное обеспечение в ваше экспресс-приложение и проверить там свой токен, если он действителен, и продолжить его, в противном случае вернуть пользователю сообщение об ошибке.

app.use(function(req, res, next) {

  // check header or url parameters or post parameters for token
  var token = req.headers['x-access-token'];
  // decode token
  if (token) {

    // verifies token 
   var isValidToken = validateToken(token); // function to validate token
    if( isValidToken ){
        next();
     }else{
       // if there is no token
    // return an error
    return res.status(403).send({ 
        success: false, 
        message: 'No token provided.' 
    });
    }

  } else {

    // if there is no token
    // return an error
    return res.status(403).send({ 
        success: false, 
        message: 'No token provided.' 
    });

  }
});

Доступ к аутентификации токена в экспресс-узле js (без jwt или паспорта)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Доступ к аутентификации токена в экспресс-узле js (без jwt или паспорта)

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов