Security nodejsapi-安全问题
我正在NodeJS中制作一个API,它将被一个网站和iPhone原生应用程序同时使用 在网站的javascript中使用API URL时,有可能会向用户公开。我只想授权访问API。不希望任何人通过控制台调用API。与Security nodejsapi-安全问题,security,api,node.js,Security,Api,Node.js,我正在NodeJS中制作一个API,它将被一个网站和iPhone原生应用程序同时使用 在网站的javascript中使用API URL时,有可能会向用户公开。我只想授权访问API。不希望任何人通过控制台调用API。与user/delete/[user id]类似,任何人都可以使用此URL删除用户。签出 有很多身份验证策略可供使用。不要在这里重新发明轮子 你的问题是什么?显然,您不应该依赖任何人来查找URL,而应该实现正确的身份验证和授权。如何对API进行正确的身份验证和授权?对于身份验证,您可以
user/delete/[user id]
类似,任何人都可以使用此URL删除用户。签出
有很多身份验证策略可供使用。不要在这里重新发明轮子 你的问题是什么?显然,您不应该依赖任何人来查找URL,而应该实现正确的身份验证和授权。如何对API进行正确的身份验证和授权?对于身份验证,您可以使用带有基于cookie的会话的登录表单、HTTP基本身份验证、API密钥或第三方提供商(OpenID、Facebook、Twitter)。要获得授权,您需要检查经过身份验证的用户是否有权执行请求的操作。有关可能的起点,请参阅。