Próbuję zbudować api RESTful z restify.js, ale nie chcę ujawniać api wszystkim. I zamierzam użyć uwierzytelniania opartego na tokenach. Proces w moim umyśle jest taki, nie jestem pewien, czy jest to rozsądne.

użytkownik wysyła nazwę użytkownika / hasło do api, aby uzyskać token.

ten token powinien zostać uwzględniony w żądaniu wywołań każdego innego interfejsu API.

Jeśli jest to uzasadnione, czy jest jakaś biblioteka node.js, której mogę użyć?

Ponadto, w jaki sposób chronić token? Jeśli ktoś przechwyci żądanie http za pomocą tokena, wówczas osoba ta otrzyma adres URL api i token. Wtedy może wysłać prośbę, jak chce. Czy istnieje sposób, aby tego uniknąć?

Wielkie dzięki!