实施客户端-服务器身份验证的最佳实践

Posted 2023-03-08

【中文标题】实施客户端-服务器身份验证的最佳实践

【英文标题】：Best practices to implement client-server authentication

【发布时间】：2015-05-30 16:41:06

【问题描述】：

我正在寻找实现客户端-服务器身份验证（本地 + 社交）的最佳实践。 现在我正在分别开发后端和前端。之前我通过下一个流程进行了身份验证：

登录->接收令牌->调用api

我还需要找到一种方法将令牌添加到黑名单中。 技术栈：node.js（帆） 前端：角度

前端应用程序也应该可以调用多个服务器的 api。这意味着前端应用程序应该只在主服务器上登录一次，并且可以调用另一个 api。

我愿意接受开箱即用的解决方案。

【问题讨论】：

关于 SO 的这个论点有不同的问题......这里有一些问题：Link1 和 Link2

你检查了 passport.js passportjs.org 吗？工作示例； scotch.io/tutorials/easy-node-authentication-setup-and-local

【参考方案1】：

如果您使用 JSON Web 令牌 (JWT) 作为令牌：您可以将唯一的随机值作为 jti 声明放入令牌中。您将这些 jti 值存储在您的数据库中，并将它们用作您的黑名单。

如果您想阅读有关使用 API 的单页应用程序的 JWT 最佳实践，请参阅我为此主题撰写的博文：Token Based Authentication for Single Page Apps

关于开箱即用的解决方案：我在Stormapth 工作，我们的Stormpath Angular SDK 有这样的解决方案。