Как реализовать систему авторизации с ограничением по доступу nodejs?
Доброго времени суток. Появилась задача сделать сервер авторизации и аутентификации, есть некое приложение и оно обращается к AUTH серверу когда пользователь пытается войти и посылает ответ. Механизм проверки данных мне ясен как божий день, но вот как ограничить доступ к серверу, чтобы нельзя было допустим с левого сайта выполнить запросы. Была мысль засунуть вайтлист в cors, но как дать доступ к приложениям у которых нет доменов?
Заранее благодарен
Сергей Мелодин, Я бы приятно удивлён результатом :). Но осталось пару вопросов.
Каким образом идентифицировать доверенное приложение?
И как сделать идентификацию пользователя, с помощью токенов?
MeG1tsune, если вы ещё не работали с oauth, то рекомендую. У ВК он есть, например. Процесс для "клиента" выглядит следующим образом:
1. Зарегистрироваться в сервисе как юзер под логином-паролем;
2. "Создать" приложение в сервисе - ему выдаётся appId;
3. Авторизоваться в сервисе через приложение - вернётся токен пользователя вашего приложения, который будет действовать сколько-то времени.
Поскольку подразумевается, что при oauth есть redirect_uri, то указывать не домен приложения, а домен бэка, где хранятся данные и записывать авторизацию туда. Соответственно, ваше приложение без домена просто запрашивает с бэка свою авторизацию повторно и ему прилетают все необходимые данные с которыми он уже выполняет запросы.
MeG1tsune, только изучить технологию, изучить устройство какой-нибудь готовой либы и запилить своё, либо установить через npm и научиться ей пользоваться. Большего не скажу, т.к. я с этой технологией работаю как юзер, а не девелопер )