Nodejs + Hapi + SSL/TLS + OATH2 + JWT в качестве носителя

я пытаюсь создать как можно более защищенный API, написанный на NodeJS, его необходимо использовать с мобильных устройств.

Мы купили SSL сертификат от Comodo для одного домена с несколькими поддоменами, сертификат установлен и настроен моим провайдером VPS.

Я пытаюсь найти несколько руководств по интеграции nodejs + hapi + oath2 с JWT + SSL/TLS.


node.js ssl api jwt hapijs
person Codew    schedule 12.10.2015    source источник
comment
Почему используются оба SSL/TLS с OAuth2 + JWT. Похоже на 3-х факторную аутентификацию. Это снижает производительность сервера. Старайтесь использовать его как можно чаще.   -  person Sathish    schedule 05.11.2015
comment
SSL/TLS — это не аутентификация, а безопасность транспортного уровня. SSL/TLS следует использовать всегда, независимо от метода аутентификации.   -  person Kitanotori    schedule 18.04.2016

Ответы (1)


arrow_upward
0
arrow_downward

Для аутентификации JWT в Hapi вы можете использовать hapi-auth-jwt2. Есть и другие плагины JWT, но этот кажется наиболее зрелым. См. их страницу Github для документации и примеров того, как ее настроить.

Для настройки SSL/TLS/HTTPS вы можете проверить примеры здесь . По сути, вы настраиваете два соединения Hapi: одно с портом для HTTP-трафика, другое с портом для HTTPS-трафика (т. е. SSL/TLS).

Кроме того, я рекомендую прочитать введение dwyl в JWT (есть много таких вводных материалов, но это коротко и понятно, имхо).

person Kitanotori    schedule 18.04.2016
comment
Спасибо за ответ, но вопрос был задан полгода назад. 1. Подход, который мы использовали, заключался в том, что nginx обрабатывал трафик через SSL/TLS и прокси-запросы к серверу nodejs через localhost http. 2. Первый сервер авторизации (сервер oauth2, использующий oauthjs/node-oauth2-server, написанный для экспресса) 3. Второй ресурсный сервер (наш основной веб-сервис, написанный на hapi) 4. Использование простой библиотеки для разбора токенов JWT на сервере hapi. - person Codew; 19.04.2016