如何验证Node API的请求者

Question

我有一个Cloudflare Worker，它提供一个注册表，接受来自用户的输入，然后将输入回发给Worker，然后将输入发送到其他地方的Node HTTP API (如果有关系的话，可以是DigitalOcean)，该API将数据插入到MongoDB中(尽管它可以是任何数据库)。我控制CF-Worker和API中的代码。

我正在寻找最好的方法来确保这一点。我目前正在计划在API调用请求头中包含一个预先共享的密钥，并且我已经锁定了这个特定的API可以对数据库访问控制做什么。有没有其他方法可以让我确认只有CF Webworker可以调用API？

如果这对一些人来说是显而易见的，我道歉。我一直认为，除非你真的擅长安全，否则最好咨询那些擅长安全的人。

Answer 1

你可以研究一下OAuth2.0标准。这是第三方客户端的授权标准。这里是链接：https://oauth.net/2/

这个解决方案是大多数professional.There是其他不太安全的方式，但更容易实现。密码和用户名、x-api-key等。

在我看来，您还可以阻止所有It，只允许来自特定域名(CF Worker)的请求