我有一个由轻量级Node.js API备份的移动应用程序。我最近开始研究集成使用基于令牌的身份验证的第三方API服务。此API旨在从我的服务器端Node.js代码中专门调用,因为直接从我的移动应用程序调用它会暴露我的敏感用户名/密码信息。其他类似的API只能被称为服务器端(例如Stripe)需要使用每个请求传入的密钥进行身份验证。这种方法对我来说更有意义,因为你并不真正想到服务器“登录”到另一个API。基于令牌的REST API身份验证
所以,这里是我的关于访问基于令牌的API的问题:
什么是打电话到该API的最好方法?该令牌具有1小时的使用寿命。我应该1)将令牌持久存储在数据库中,并且对于每个请求,从数据库中取出令牌,检查它是否仍然有效,然后向第三方API发送请求?或者,2)每次需要向API发出请求时都请求新的令牌?
使用基于令牌的认证有什么好处?由于没有登录的概念,并且在请求之间不需要维护状态,使用基本身份验证的简单密钥不会更容易吗?
好答案是多少担保!刷新令牌被暴露的可能性较低,因为您不太经常使用刷新令牌? – toddg
是的,它用在不同的环境中。可能会去一个不同的服务器,这可能会更安全。 – Evert