javascript 如何为API身份验证创建client_id和client_secret？

balp4ylt 于 2023-05-12 发布在 Java

关注(0)|答案(2)|浏览(187)

我想实现从机器到机器的身份验证。我正在考虑为API分配一个用户client_secret和client_id，API 1将使用它们来换取JWT访问令牌。
我是否可以为密钥和ID创建2个唯一的字符串，并将它们存储在数据库中的用户中？
大概是这样的

import { randomUUID } from "crypto";
const bcrypt = require('bcrypt');

const saltRounds = 10;

const client_id = randomUUID();
const client_secret = randomUUID();

const salt = bcrypt.genSaltSync(saltRounds);
const hash = bcrypt.hashSync(client_secret, salt);

// store hash in database
// have API store client_secret and client_id as environment variables

客户端密码/ ID然后可以用于在传入请求时验证API？

JavaScript

来源：https://stackoverflow.com/questions/68382137/how-to-create-a-client-id-and-client-secret-for-api-authentication

2条答案

按热度按时间

bcs8qyzn1#

一个更标准的选项可能是在机器之间转发用户令牌，如本文IAM Primer所述。
您所做的一个可能的问题是，您正在为用户存储一个长期有效的凭据，该凭据可用于在未经用户同意的情况下访问资源。
根据场景的不同，从安全的Angular 来看，这可能是不好的，因为如果恶意方掌握了用户的客户端ID和秘密，他们可以作为用户操作，下游API无法知道。

赞(0）回复(0）举报 2023-05-12

ctehm74n2#

function generate() {
  let ret = "";
  for (let i = 0; i < 8; i++) {
    const newrand = Math.floor(Math.random() * 4026531840) + 268435456; 
    ret += newrand.toString(16);
  }
  return ret;
}

function convert(id) {
  let ret = "";
  for (let j = 0; j < 22; j++) {
    for (let i = 0; i < 64; i++) {
      const code = id[i].charCodeAt() + id[(i + 1) % 64].charCodeAt();
      ret += String.fromCharCode(Math.floor(code % 93) + 33);
    }
    id = ret;
    ret = "";
  }
  return id;
}

const id = generate();
console.log({ "client-id": id, "client-secret": convert(id) });

赞(0）回复(0）举报 2023-05-12

我来回答

javascript 如何为API身份验证创建client_id和client_secret？

2条答案

相关问题

热门标签

最新问答