node.js - 让管理员应用程序使用某些 api 密钥为另一个应用程序中的用户预订服务

我在节点中有两个应用程序设置。两者共享同一个数据库。

因此，有一个供用户使用的应用程序。

用户可以看到他们的地址、钱包、图书服务等。

管理员和运营团队还有另一个应用程序，他们可以在其中获取用户详细信息。

比如，最后预订的服务，如果他们使用优惠券，如果他们使用钱包或信用卡或借记卡。

因此，如果用户有任何问题，他们可以请求支持团队代表他们预订服务。

我将如何授予支持或管理团队访问权限以执行操作。

问题是，每条路线都auth在用户应用程序中受到保护。因此，只有经过身份验证的用户才能访问他的详细信息。

一种可能的方法是，我想为管理应用程序生成一个 API 密钥。

所以他们会在每个请求中发送类似下面的内容。

X-Api-Key:  kD45bYaXlStYV_jVdU8mlg // Buffer.from(data).toString('base64')
X-User-Id: 2343 // id of the user for which service is to be booked

另外，我必须修改我的auth中间件以查看是否包含 api 密钥头和验证头，并绕过用户的登录和JWT生成步骤。

但我不确定安全问题。我敢肯定，一定有人遇到过这个问题。请分享一些想法，谢谢。

如果需要任何其他信息，请发表评论。

标签： node.jsapiexpresssecurity