Я создаю сервер API REST с Node.js и Express + MongoDB. Этот API будет иметь различные мобильные клиенты (iOS, Android) и, возможно, веб-приложение позже. Мне нужно, чтобы пользователи входили в систему для выполнения некоторых запросов API. Нет сторонних приложений, с которыми я хочу подключиться (без Facebook, Google и т.д.). Я также не хочу заставить пользователей посещать веб-страницу или что-то в этом роде, чтобы они могли войти в систему.
Из того, что я видел во многих своих поисках в SO, лучшим подходом было бы позволить пользователям входить в систему с полными учетными данными один раз, отправлять им токен взамен и использовать этот токен для проверки будущих запросов до истечения срока его действия.
Однако я не уверен, как это реализовать. Я очень смущен всеми различными стратегиями. Это делается с базовой аутентификацией по HTTPS, с OAuth, OAuth 2.0,...? Я просто не знаю, что использовать. Кроме того, я действительно не хочу изобретать колесо здесь, а не потому, что я ленив, но в основном из-за проблем с безопасностью. Есть ли библиотека, которую я мог бы использовать для ее реализации? Я слышал о Паспорте, но я не мог понять, насколько это выполнимо или нет. Это похоже на такую общую вещь, я уверен, что там есть простое решение.
Спасибо!