API身份验证

1. principal 例如 Bearer 象征 Authentication 头球。
2. HTTP verb req.method 快车
3. Resource 例如 req.originalUrl 快车

true 或 false . 那么问题是,一个系统,这个解决方案和围绕3元组排列的生命周期方法,看起来像什么?我们把这个系统称为AAS(身份验证和授权服务)。

作为一个API开发人员,我可以让API调用到达我的API服务器 之后 已通过AAS认证。三元组将由原子吸收光谱法处理。如果身份验证失败,AAS将发送一个HTTP状态代码 401 总是 .

作为一个API开发人员,我拥有AAS,这样我的API服务器就可以接收调用 还有 和 访问控制的评估。例如,我必须设计一个新的API使用者,并评估他的调用。

问题

例如,纯粹从JWT的角度来看(让我们把 bad press around JWT 一时间),3元组可能是索赔。有了选项1,我希望通过AAS发布、修改和到期JWT。有了选项2,我将不得不拥有生命周期。

对于访问控制的评估,使用选项1,我希望从AAS调用API服务器。对于选项2,我希望使用 passport.js

我一直在读 Gluu , Keycloak 和 FreeIPA . 然后,也有基于云的解决方案。也许,我读得不对-但是,我似乎找不到一个明确的答案,如何解决这些问题(我甚至尝试了FreeIPA沙箱- https://www.freeipa.org/page/Demo )可用于上述任一选项。

护照.js 也许吧?