Node.js NodeJS和Express-安全地区分发出请求的客户端_Node.js_Api_Express_Authentication_Cross Domain

Node.js NodeJS和Express-安全地区分发出请求的客户端

node.js api express authentication

Node.js NodeJS和Express-安全地区分发出请求的客户端,node.js,api,express,authentication,cross-domain,Node.js,Api,Express,Authentication,Cross Domain,目前，我正在从事一个项目，需要跟踪和验证来自不同客户端的用户。每个客户都是一个单独的网站。在数据库中，它们与凭据存储在一起，如下所示：电子邮件：{ 类型：字符串，必填项：true }, 安全：{ 密码：{ 类型：字符串 }, apiKey：{ 类型：字符串 } }, 客户：{ 类型：mongoose.Types.ObjectId，参考：“客户”，必填项：true }，你好，丹尼尔。如果我理解正确的话，通常的流程是客户端到达一个端点，在那里他提供电子邮件和pwd，然后服务器检查它们，如果

目前，我正在从事一个项目，需要跟踪和验证来自不同客户端的用户。每个客户都是一个单独的网站。在数据库中，它们与凭据存储在一起，如下所示：

电子邮件：{
类型：字符串，
必填项：true
},
安全：{
密码：{
类型：字符串
},
apiKey：{
类型：字符串
}
},
客户：{
类型：mongoose.Types.ObjectId，
参考：“客户”，
必填项：true
}，

你好，丹尼尔。如果我理解正确的话，通常的流程是客户端到达一个端点，在那里他提供电子邮件和pwd，然后服务器检查它们，如果一切正常，则提供一个令牌作为回报。之后，客户端将在报头中提供该令牌，服务器将在中间件中为每个请求进行身份验证。如果您不支持https/SSL，或者您担心令牌可能会以某种方式被盗，那么您可以在同一令牌中对IP地址进行签名，并在实际地址与签名地址不同时检查恶意行为。您可以筛选或识别IP是否来自您期望的站点，而不仅仅是检测恶意情况