我正在 nodeJS 服务器上构建一个安全的 ReST API,以便我的 Android 应用程序可以访问我网站上的数据。根据阅读其他一些帖子,我开始明白我应该使用访问 token 。所以我的想法是执行以下操作:
1) 当用户登录 Android 应用程序时,应用程序会向我网站上的 /api/login 发送请求,提供用户名和密码(这当然需要通过 SSL 进行)以防止窃听)。
2) 我的服务器验证用户名 + 密码是否匹配,如果匹配,则使用访问 token 进行响应。
3) 应用程序使用此访问 token 向我的 API 发出所有后续请求。
我的问题是我应该将访问 token 存储在我的服务器上的数据库中吗?具体来说,我是否应该存储访问 token 与该特定用户关联的事实?我看过的大多数教程都没有这样做,但如果我不这样做,那么如何阻止具有此访问 token 的用户修改或查看另一个用户的数据呢?我不需要将访问 token 与数据库中的用户配对吗?
最佳答案
尝试使用这个库,我做了相同类型的项目,这个life saver这是我的解决方案。
关于node.js - 休息 API : Should I associate the access token with a user in my database,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39603353/