通过IBM app-id添加用户授权和身份验证以响应应用程序。

Question

我有一个基本的前端应用程序，我希望能够让用户注册和登录。我决定为此使用的服务是IBM的AppID。我的应用程序流程是这样的:前端应用程序(React)通过axios向节点服务器发出get/post请求。然后，服务器从mongo数据库中检索数据。我希望用户单击react应用程序上的登录按钮，然后将其重定向到AppID上的登录表单，一旦经过验证，用户将被重定向到另一个由于未经授权而受到保护的页面。

IBM网站上的文档展示了它们保护节点应用程序的示例，其中前端也位于节点应用程序上。这些是文档：https://cloud.ibm.com/docs/services/appid?topic=appid-web-apps#web-apps

const mongoose = require("mongoose");
const express = require("express");
let cors = require("cors");
const bodyParser = require("body-parser");
const logger = require("morgan");

const API_PORT = 5100;
const app = express();
app.use(cors());

//bodyParser, parses the request body to be a readable json format.
app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());
app.use(logger("dev"));

app.use(
  session({
    secret: "xxxxx",
    resave: true,
    saveUninitialized: true
  })
);

app.use(passport.initialize());
app.use(passport.session());
passport.serializeUser((user, cb) => cb(null, user));
passport.deserializeUser((user, cb) => cb(null, user));

passport.use(
  new WebAppStrategy({
    clientId: "ca5d4ajsnfjsandew-e-f-w-rg--94e1681c6821",
    tenantId: "61982sedfysehfnscd-sfvs-dsf-sfds-464c7fbc",
    secret: "MmY3ZDJhNGQtfshbdfksndlsdjfjsbjdfjsdjhfbskYWRj",
    name: "TEA-web-app",
    oAuthServerUrl:
      "https://us-south.appid.cloud.ibm.com/oauth/v4/619820bahfbsef2-5931-4748-ba39-1cc4fsd464c7fbc",
    profilesUrl: "https://us-south.appid.cloud.ibm.com",
    discoveryEndpoint:
      "https://us-south.appid.cloud.ibmdds.com/oauth/v4/619820b2-5931ffd-4748-ba39-1cc4464c7fbc/.well-known/openid-configuration",
    redirectUri: "http://localhost:3000/dashboard"
  })
);

app.use(passport.authenticate(WebAppStrategy.STRATEGY_NAME));

//link to mongoDB database
const dbRoute =
  "mongodb+srv://username:password@cluster0-zjqhi.mongodb.net/TEA?retryWrites=true&w=majority";

//connect backend with mongoose database.
mongoose.connect(dbRoute, { useNewUrlParser: true });

let db = mongoose.connection;

//Prompt when connected to database.
db.once("open", () => console.log("connection with database made"));

//check if connection made was successful.
db.on("error", console.error.bind(console, "MongoDB connection error: "));

const userRouter = require("./routes/users");
const dataRouter = require("./routes/data");

app.use("/users", userRouter);
app.use("/data", dataRouter);

// launch our backend into a port
app.listen(API_PORT, () => console.log(`LISTENING ON PORT ${API_PORT}`));

这是我编写的服务器端代码，我不确定我是否应该在服务器端这样做，或者我是否应该为我的React应用程序上的身份验证编写代码。可以在前面做吗？

Answer 1

是的，所以您可以使用App进行后端对话，这样就可以获得令牌。一旦有了令牌，就可以实现一种基于cookie+session的方法来维护前端和后端之间的某些会话。

要了解更多信息，请查看以下博客文章：https://www.ibm.com/cloud/blog/securing-angularnode-js-applications-using-app-id。特别是，该博客提供了一个示例，它可以处理角型前端和节点后端，并实现了cookie+session方法。但是，同样的原则也适用于反应。

博客代码示例：https://github.com/ibm-cloud-security/appid-sample-code-snippets/tree/master/angular-node-sample

重要注意事项:我在代码片段中注意到，应用程序ID secret在这里以纯文本形式发布。我强烈建议您删除，删除那些凭据，并从App中获得新的一对。现在拥有您clientId和secret的任何人都可以模拟您的应用程序。