Nodejs restful api auth method

这取决于您想要实现的安全性类型。每个您都可以利用HTTP基本身份验证。这只是对应于有一个Authorization标头，其中包含用Base64:编码的用户名/密码

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

对于信息，QWxhZGRpbjpvcGVuIHNlc2FtZQ==等于encodeBase64('username:password)（伪码）。

在服务器端和Express应用程序中，可以使用basic-auth模块来实现以下安全中间件。它将从请求中提取用户名/密码，并检查其是否匹配。为了简单起见，这里对它进行了硬编码，但它应该检查数据库。

var basicAuth = require('basic-auth');
function unauthorized(res) {
  res.set('WWW-Authenticate', 'Basic realm=Authorization Required');
  return res.status(401).end();
}
// Hardcoded username / password
var username = 'foo';
var password = 'bar';
var basicAuthMiddleware = function() {
  return function(req, res, next) {
    var user = basicAuth(req);
    if (!user || !user.name || !user.pass) {
      return unauthorized(res);
    }
    if (user.name === username && user.pass === password) {
      return next();
    } else {
      return unauthorized(res);
    }
  };
};
expressApplication.use(basicAuthMiddleware);

如果您想要更通用的东西，即能够轻松更改身份验证策略，我建议您查看Passport库。

在这种情况下，前一个将按如下所述进行返工：

var passport = require('passport');
passport.use(new BasicStrategy(
  function(username, password, done) {
    User.findOne({ username: username }, function (err, user) {
      if (err) {
        return done(err);
      }
      if (!user) {
        return done(null, false);
      }
      if (!user.validPassword(password)) {
        return done(null, false);
      }
      return done(null, user);
    });
  }
));
expressApplication.use(passport.initialize());

您还可以使用更高级的安全机制，如基于令牌的身份验证或OAuth2。Passport为他们提供了一些支持。

否则，我建议你阅读以下博客文章：

• 使用RESTful应用程序的令牌实现身份验证：https://templth.wordpress.com/2015/01/05/implementing-authentication-with-tokens-for-restful-applications/

一句话。当您实现RESTful服务时，服务器端不应该有某种状态。我的意思是没有登录和注销。如果您想利用令牌，您应该需要一个授权资源，该资源为凭据提供一个临时令牌，并能够在令牌过期时对其进行刷新。

希望它能帮助你，Thierry