我正在使用mean.js,我对这里的身份验证和授权有点怀疑……

MEAN.js带有一个开箱即用的passport.js实现,对我来说似乎工作得很好,只是知道用户何时登录.但是在授权的那一刻,我脑子里浮现出一些问题.研究我得到了一些答案,我不知道在我的应用程序中实现安全API调用的最佳方法是什么.

到目前为止,我正在采取这个解决方案：

使用express.all()函数在我的所有授权函数中设置一个文件(我想这是一个很好的做法吗？)..使用以下代码示例创建一个文件：

'use strict';
var passport = require('passport');
module.exports = function(app) {

    app.route('/private/p/*').all(function(req, res, next){
        if(!req.isAuthenticated()){
            res.send(401);
        }else{
            next();
        }
    });

    app.route('/private/byRoles/*').all(function(req, res, next){
        if(!req.isAuthenticated()){
            res.send(401);
        }else{
             var urlRoles = ['admin', 'godlike'];
            // ROLE LOGICS THAT ARE GOING TO BE ADDED TO MY USER
            // GETTING MY USER ID BY THE DE-SERIALIZE PASSPORT FUNCTION AND GETTING MY 
            // MONGO MODEL FOR MY USER, WITH THE INFO OF ROLES IN THERE AND DOING 
            // SOME LOGICS HERE ABOUT THE ROLES AND URL PATTERN.
            if ( hasRole(urlRoles, user.roles)){
                next();
                }else{
                   res.send(401);
                }
        }
    });
};

到目前为止,这是我计划实施的解决方案,但我想确定我在这里做了什么……有没有更好的方法在mean.js中实现授权？这个授权中间件是否用护照实施了错误？我不确定是否有必要对此实现另一个策略..或者如果此实现缺乏安全性(确定必须)..最好使用Oauth或使用api令牌???什么应该是保护MEAN.js支持角色和权限的应用程序的架构？同样在将来我需要保护我的插座..我正在看护照socketio ..但不确定是否有更好的解决方案.

最佳答案 我使用JWT作为我的角度应用程序.关于使用令牌而不是会话或cookie
Cookies vs Tokens. Getting auth right with Angular.JS的好处有很多文章.

您可以使用JWT完成所需的一切,后端和前端的角色,安全套接字也是可能的,并且有用于此功能的软件包.如果使用令牌,则不需要护照.您一次检查凭据并将令牌存储在浏览器本地存储中.快递和JWT Express-JWT有很多套餐

仔细看看JWT jwt.io