Access Control: Passwort-Hash/Salt-Paar generieren & Login-Endpoint (Backend)

Vorlesungsfolien Abend 2

Endpoint erstellen, der aus Passwörter ein Passwort-Hash/Salt-Paar generiert • crypto.randomBytes(), crypt.scrypt() • Damit User-Liste von Hand befüllt werden kann
User-Liste in Backend-Variable anlegen (username, role passwordHash, salt)
Login-Endpoint erstellen, der Username/Password überprüft und das Access Token, Username und Rolle zurückgibt • Achtung: Access Token muss die Rolle als Claim enthalten
Middleware-Funktion(en) erstellen, das für geschützte Ressourcen das Access Token (inkl. Role-Claim) überprüft • Stateless: Die Überprüfung darf/muss nicht auf die User-Liste zugreiffen. Alle Infos sind im Access-Token enthalten
Game-Schnittstelle anpassen und sicherstellen, dass man nur auf das eigene Game zugreifen kann

app.get('/api/password-generator/:password', async (req, res) => {
const password = req.params.password
// implement...
})

app.post('/api/login'
, async (req, res) => {
const { username, password } = req.body
// implement...
})

Tipp: UI erst implementieren, wenn das Ganze mit Postman funktioniert. -> jwt.

frickerg / Web-Engineering-3

Access Control: Passwort-Hash/Salt-Paar generieren & Login-Endpoint (Backend) #67