我已经使用MongoDB Atlas,Express和Node JS构建了后端,并将其部署到Heroku。到目前为止,使用Postman,该应用程序运行正常(正在添加用户,并且我正确接收了json网络令牌)。
但是我想这可能不正确,因为似乎任何有权访问我的Heroku URL和路由的人都可以轻松创建新用户,接收json网络令牌并基本上使用我的后端来操作他们的整个应用程序。
我的问题是:
您可以使用Passportjs保护您的路线,护照将是您访问后端和实际后端之间的中间人。
如果传递了有效的JWT(JWT strategy),则可以授予路由访问权限,否则它将抛出401(未授权)。
有400多种策略,我将推荐一种JWT,因为您已经在生成JWT。
保护支持是不可或缺的部分,因为大多数脚本会禁用前端的安全性,从而使应用程序容易受到攻击。