我有一个react / redux应用程序,我想通过其API与Node.js应用程序(可能是Express)进行通信。 Node.js应用程序具有CloudantDB并包含敏感信息。 每个用户只能访问他/她的数据库部分。
您如何建议我保护API端点并建立用户Auth ? 我当时想在Node.js应用程序上使用Passport.js ,并使其与React端的Jason Web令牌Auth交互。 谢谢!
有几种方法。
令牌,Cookie,JWT
JWT是最简单的方法(我认为),并且功能最丰富。
但这取决于你。
您可能想查看https://github.com/cloudant-labs/envoy ,这是一个基于Express的应用程序,可以扩展以使用Passport.js。
最重要的是,它限制了用户可以从数据库中提取并存储在浏览器中的范围。