[英]What kind of authentication mechanism to use for my REST based API service?
[英]REST / Web based authentication-as-a-service a possibility?
我已经使用Express
开发了基于REST
的服务,并且最初开始自己实施身份验证。 一个简单的用户名/密码验证,其中
我对Node.JS有所了解,但不足以使我对推出自己的身份验证(登录/注册)机制感到满意。
因此,我想用其他方法代替内部机制。
经过验证,可扩展,可插入且易于使用的东西。
考虑到基于Node.JS的安全网站/ REST API的数量,我确信人们/公司必须提供现成的解决方案,这些解决方案可以使服务实现者快速启动并运行,而无需担心安全/用户方面。
我正在寻找比passport
或everyauth
类的库even higher level of abstraction
。 提供开箱即用功能的功能,能够满足我的要求,包括:
所以这里的问题是:
out-of-the-box
解决方案,提供比护照/ everyauth / ...更高的抽象级别? outsourcing my user authentication
的概念,而只是开始查看护照和Everyauth并开始使用这些库来实现我的要求? 服务API应该在很大程度上独立于您的身份验证机制,因此,我建议在一个简单的受密码保护的文件夹或类似的文件夹之后启动此API。 在我看来,最好是确保您的API正常运行并且可以吸引人。 这意味着它将是一个长期的项目。 专注于开箱即用的痛苦事物,没有比杀死项目更快的了。
至于使用什么服务? 很好地设置安全性并非易事。 因此,对于一个小型启动项目,与另一个服务集成可能更具成本效益。 可能看看Mozilla Persona 。 它基于Node构建 ,非常简单。
如果您愿意尝试自己动手,请具备一些外部专业知识,并且不要做一些愚蠢的事情,例如使用SHA1之类的哈希算法来存储密码。 而是使用bcrypt之类的东西。 然后还有其他事情,例如,不要将服务器日志存储在创建的服务器上。 将所有日志移到其他位置,这样,如果有入侵,您可以通过法医追溯到发生的事情。
我猜你可以使用https://stormpath.com/ 。 我正在寻找一个免费的替代品。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.