|
olimpset,
Вы точно с Auth0 разобрались? Никакие API key вы не генерируете.
Вы создаете пользователей, наделяете их правами (указывая к каким scope он относится) и всё. Далее клиент посылает запрос на Auth0 сервис с необходимыми данными (NON_INTERACTIVE_CLIENT_ID, NON_INTERACTIVE_CLIENT_SECRET, grant_type, audience), Auth0 в ответ отсылает клиенту access_token, который он должен будет послать на ваш сервер в заголовке Authorization. Далее express-jwt модуль его расшифрует и в req.user отдаст вам пользователя. Теперь вы можете проверить его scope и решить, давать ли ему права на нужный URL.
|