我想实现Auth0与认证MERN堆栈。
但是,这令人困惑,因为Auth0的教程所示,在进行身份验证时, React似乎仅与Auth0服务器通信。 https://auth0.com/docs/quickstart/spa/vanillajs
那么, nodeJS服务器是否假设从客户端发送的任何令牌都是合法的? 服务器不对客户端发送的令牌进行任何身份验证? 因为令牌存储在前端的LocalStorage ,这是否具有很大的风险?
您的说法是正确的,此时您的资源服务器尚未受到保护。 您所指的教程仅通过auth0身份验证API对用户进行了身份验证。 但是,您仍然需要保护资源服务器。
一个基本的标准流程是:用户从前端请求受保护的资源->前端从本地存储向节点服务器发送访问令牌->节点服务器接受访问令牌->节点服务器解码访问令牌,进行多次有效性检查(到期,观众等)->如果访问令牌通过检查,则节点服务器返回受保护的资源。
因此,您只需要设置您的Node服务器来接受和检查JWT。 https://auth0.com/docs/quickstart/backend/nodejs