关于在NodeJS中使用REST API身份验证的困惑

Question

我正在为我的项目使用Express + NodeJS + Mongoose.js + PassportJS。我在IOS中为我的客户端应用创建了一个API密钥，每个请求都是由这个apikey完成的。

有时我需要来自服务器的与用户相关的数据。例如：

如果我请求查询场馆，并查看当前用户是否已经对该场馆进行了评级。

为此，我应该将用户id作为参数发送到服务器，以进行与当前用户相关的查询。

正如我在Foursquare API中看到的，如果请求用户通过了身份验证，则可以查询与用户相关的数据。如果用户未通过鉴权，只有app通过鉴权，则不能查询用户相关数据。

那么，我应该给每个用户一个apikey吗？或者只有一个API密钥给一个使用我的api的应用程序？

Answer 1

您已经提到您正在使用passportJ，那么您为什么不使用passportJ进行用户身份验证，您可以使用各种选项来获得用户身份验证。无论您选择哪种方法，都取决于您的需求。为了让您了解如何设置基本身份验证，您可以参考以下https://github.com/jaredhanson/passport-local/blob/master/examples/express3/app.js

从上面的示例中，您可以验证用户是否像这样进行了身份验证

function ensureAuthenticated(req, res, next) {
if (req.isAuthenticated()) { return next(); }
res.redirect('/login')
}

然后，您可以使用该方法作为路由中间件来限制用户访问。我认为我附上的链接给了你很好的想法，但如果你还需要任何帮助，请让我知道。

Answer 2

您需要让用户在Foursquare上进行身份验证，方法是先将他们重定向到Foursquare。您只需要一个api密钥。

考虑使用以下库之一：https://github.com/Constantine-Fry/Foursquare-API-v2 https://github.com/baztokyo/foursquare-ios-api

或者自己动手：https://developer.foursquare.com/overview/auth