Node.js 在需要对某些请求进行身份验证的情况下,我应该如何设计NodeJs REST服务器?
我正在尝试构建一个具有某种安全性的服务器。假设我有一个文件列表组件和一个图像查看器,我没有访问权限,它不断地向我的服务器发出请求。我希望以某种方式根据发出请求的人来筛选这些请求。是否有任何方法可以检查服务器端发出请求的客户端是否具有授权,同时服务器仍处于RESTful状态,并且不修改请求本身?这个访问服务器的文件列表组件-它知道是谁吗用户是?更重要的是,它是否会将这些信息传递给你?“不修改请求本身”应该没有问题,这只是安全路由上的一个简单中间件的问题,它检查请求者是否被授权。@Zlatko是的,图像查看器和文件列表都知道用户。问题是,我正在为图像查看器使用一个库(openlayers3),我不能修改请求标题或类似的内容(我只是给它一个我的分幅所在的url),所以您的REST API给用户提供了指向openlayers分幅的链接?@Zlatko不,我有一个关于如何存储分幅的规则,这样链接就由客户端生成,到目前为止,我已经使用express static公开了该链接。使用Basic auth works登录,因为chrome会在每次请求时发送信息,但使用Digest或其他更安全的工具时效果不太好。抱歉,仍然没有掌握全部信息。您有一个客户端(网页)。它包括openlayers3库。它创建一个指向磁贴的链接,然后调用服务器请求该磁贴。像这样的?在进入链接生成部分之前,是否启动了类似用户会话的功能?如果您有一个cookie或客户端已经使用过的东西,那么对服务器的另一个请求仍然会带来该cookie。也许你可以用这个。不管怎么说,我还不了解情况。可能会显示一些代码示例(在客户端和服务器上),让我们知道要保护什么Node.js 在需要对某些请求进行身份验证的情况下,我应该如何设计NodeJs REST服务器?,node.js,rest,security,authentication,authorization,Node.js,Rest,Security,Authentication,Authorization,我正在尝试构建一个具有某种安全性的服务器。假设我有一个文件列表组件和一个图像查看器,我没有访问权限,它不断地向我的服务器发出请求。我希望以某种方式根据发出请求的人来筛选这些请求。是否有任何方法可以检查服务器端发出请求的客户端是否具有授权,同时服务器仍处于RESTful状态,并且不修改请求本身?这个访问服务器的文件列表组件-它知道是谁吗用户是?更重要的是,它是否会将这些信息传递给你?“不修改请求本身”应该没有问题,这只是安全路由上的一个简单中间件的问题,它检查请求者是否被授权。@Zlatko是的,