我正在为前端创建 API,但很难找到满足基本 Node.js/Express 授权需求的最简单解决方案。我已经进行了身份验证,但我想保护特定的 API 路由。
Example case: user can only fetch (and edit) it's own profile so he can't fetch someone else's just providing email address
我读过有关 session 的内容,也读过有关 JWT 的内容。不太确定该走哪条路 - 我不需要任何花哨的东西,只需要能够保护用户数据不被未经授权的用户获取的东西。
我正在使用 MariaDB 和本地身份验证策略(电子邮件/密码)。
最佳答案
如果您已经实现了本地身份验证策略,我将为您想要保护的 API 资源添加 JWT。使用护照库非常容易。
使用 JWT,您可以获取发送请求的用户并进行您需要的所有安全检查。
关于node.js - 最简单的 Node.js/Express 授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53610469/