Авторизация и аутентификация в nodejs

Некоторое вступление,

Токен авторизации обычно является JWT и создается с некоторым секретным ключом на сервере, библиотека, такая как https://www.npmjs.com/package/jsonwebtoken, используется в основном в NodeJs. Можно использовать разные стратегии с использованием Passport JS, чтобы сделать его более безопасным и открытым для сторонней интеграции (например, Google, FB и т. д.).

Теперь твой вопрос,

Когда пользователь сначала входит в систему, используя свои действительные учетные данные, сервер генерирует токен JWT с Секретный ключ и отправляет его в заголовке ответа. Клиентская сторона (браузер) сохраняет этот токен в cookie или локальном хранилище, и для следующего запроса отправляет этот токен в заголовке запроса. Сервер имеет секретный ключ и может проверить валидацию токена, а также продолжить или отклонить запрос.

В идеале следует использовать токен, срок действия которого истекает через 1 час (в зависимости от варианта использования) или около того, и не использовать токены с неограниченным или длинным сроком действия по соображениям безопасности.

Это примерно так, пожалуйста, дайте мне знать, если возникнут сомнения.

Здравствуйте, вы можете проверить этот образец OAuth2 на основе oauth2-server, вы можете найти репо здесь: https://github.com/gerardabsi/NodeJS-OAuth2

Для хранения токена в браузере вы можете использовать cookie или веб-хранилище браузера (localStorage / sessionStorage). см. этот ссылка на сайт для веб-хранилища браузера. Для тех маршрутов, для которых требуется авторизация, вы должны отправить токен в заголовке или cookie. этот блог Почта может помочь вам больше.