用express实现auth0的正确方法是啥
Posted
技术标签:
【中文标题】用express实现auth0的正确方法是啥【英文标题】:What is the proper way to implement auth0 with express用express实现auth0的正确方法是什么 【发布时间】:2018-02-20 21:52:13 【问题描述】:我们正在使用 auth0 进行登录和用户管理的项目。主要后端是在 ExpressJS 和 MongoDB 上实现的。 我们已经实现了 auth0 并且一切都在后端运行良好。只是想知道将我们的 mongoDB 上的用户与 auth0 DB 上的用户链接的正确方法
由于在 auth0 上为每个用户分配了一个唯一的“user_id”,我们是否应该在 mongodb 中创建一个具有此 id 的用户,并且对于每个 API 调用,客户端(移动应用程序)在标头中发送 auth0 访问令牌。
为了获取关于哪个用户发送请求的参考,客户端(移动应用程序)是否应该存储“user_id”并将其与 API 请求一起发送,或者我们可以从访问令牌中获取“user_id”。
只是认为在每个 API 请求中发送 user_id 会破坏 auth0 的目的,并且可能是一个安全问题
请提出正确的实现方法
【问题讨论】:
【参考方案1】:我没有使用 Auth0 的经验,但访问令牌中的“sub”声明应该包含用户 ID。
我会在我的自定义数据库中使用 Auth0 的用户 ID 作为 ID,并从访问令牌的“子”声明中获取它。
【讨论】:
以上是关于用express实现auth0的正确方法是啥的主要内容,如果未能解决你的问题,请参考以下文章
使用 Angular 和 Express 登录用户的正确方法是啥?
如何查看存储在 JWT 中的数据?使用 auth0 和 express-jwt
如何从nodejs express.js中的一个用户帐户管理多个登录的正确方法是啥?