保护我们的 API

在第九章中，我们为 API 添加了一个新的端点 - POST /newsletters。

它接收新闻简报的期刊作为输入，并向所有订阅者发送电子邮件。

但我们遇到了一个问题——任何人都可以访问该 API，并向我们的整个邮件列表广播任何他们想要的内容。

现在是时候升级我们的 API 安全工具箱了。

我们将介绍身份验证和授权的概念，评估各种方法（基本身份验证、基于会话的身份验证、OAuth 2.0、OpenId Connect），并讨论最常用的令牌格式之一——JSON Web 令牌 (JWT) 的优势（和缺陷）。

本章与本书其他章节一样，出于教学目的，选择先“做错”。 如果您不想养成不良的安全习惯，请务必读到最后!