Sichern einer Node.js-API: Eine einfache Anleitung zur Authentifizierung

Ich habe eine Node.js-API erstellt und möchte sie sichern, also habe ich die wenigen Optionen überprüft, aus denen ich wählen kann. Deshalb werde ich Sie durch drei gängige Authentifizierungsmethoden führen: Basisauthentifizierung, JWT (JSON Web Tokens) und API-Schlüssel.

1. Basisauthentifizierung

Was ist das?

Die Basisauthentifizierung ist so einfach wie es nur geht. Der Client sendet bei jeder Anfrage im Header Authorization einen Benutzernamen und ein Passwort. Obwohl es einfach zu implementieren ist, ist es nicht das sicherste, es sei denn, Sie verwenden HTTPS, da die Anmeldeinformationen nur Base64-codiert (nicht verschlüsselt) sind.

So implementieren Sie es

Um die Standardauthentifizierung mithilfe von Express zu Ihrer API hinzuzufügen, benötigen Sie Folgendes:

1. Installieren Sie das Basic-Auth-Paket:

   npm install basic-auth

1. Fügen Sie die Authentifizierungs-Middleware hinzu:

   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });

Testen Sie es

Verwenden Sie Curl, um Ihre Basisauthentifizierung zu testen:

curl -u your-username:your-password http://localhost:3000/

Tipp:Verwenden Sie immer die Standardauthentifizierung über HTTPS, um sicherzustellen, dass die Anmeldeinformationen geschützt sind.

---

2. JWT (JSON-Web-Tokens)

Was ist das?

JWT ist eine sicherere und skalierbarere Methode zur Authentifizierung von Benutzern. Anstatt bei jeder Anfrage Anmeldeinformationen zu senden, generiert der Server beim Anmelden ein Token. Der Client fügt dieses Token für nachfolgende Anfragen in den Header Authorization ein.

So implementieren Sie es

Installieren Sie zunächst die erforderlichen Pakete:

npm install jsonwebtoken express-jwt

Hier ist ein Beispiel, wie Sie die JWT-Authentifizierung einrichten können:

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

Testen Sie es

Melden Sie sich zunächst an, um ein Token zu erhalten:

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"

Verwenden Sie dann das Token, um auf eine geschützte Route zuzugreifen:

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected

JWT ist großartig, weil das Token eine Ablaufzeit hat und Anmeldeinformationen nicht bei jeder Anfrage gesendet werden müssen.

---

3. API-Schlüsselauthentifizierung

Was ist das?

Die API-Schlüsselauthentifizierung ist einfach: Sie geben jedem Client einen eindeutigen Schlüssel und er fügt ihn in seine Anfragen ein. Es ist einfach zu implementieren, aber nicht so sicher oder flexibel wie JWT, da derselbe Schlüssel immer wieder verwendet wird. Letztendlich handelt es sich um eine robuste Lösung, die problemlos zur Begrenzung der Anzahl der API-Aufrufe verwendet werden kann und von vielen Websites verwendet wird. Als zusätzliche Sicherheitsmaßnahme können Anfragen auf eine bestimmte IP beschränkt werden.

So implementieren Sie es

Sie benötigen hierfür keine speziellen Pakete, aber die Verwendung von dotenv zur Verwaltung Ihrer API-Schlüssel ist eine gute Idee. Installieren Sie zunächst dotenv:

npm install dotenv

Dann erstellen Sie Ihre API mit API-Schlüsselauthentifizierung:

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

Testen Sie es

Sie können Ihre API-Schlüsselauthentifizierung testen mit:

curl http://localhost:3000/?api_key=your-api-key

Oder mit einem benutzerdefinierten Header:

curl -H "x-api-key: your-api-key" http://localhost:3000/

---

Zusammenfassung der Authentifizierungsmethoden

• Basisauthentifizierung:

  • Vorteile: Einfach einzurichten.
  • Nachteile: Anmeldeinformationen werden bei jeder Anfrage gesendet, daher sollte diese über HTTPS verwendet werden.
  • Anwendungsfall: Einfache APIs mit einer kleinen Anzahl von Benutzern.

• JWT-Authentifizierung:

  • Vorteile: Sicher, zustandslos und gut skalierbar.
  • Nachteile: Komplexer als die Basisauthentifizierung.
  • Anwendungsfall: Skalierbare APIs, die robuste Sicherheit benötigen.

• API-Schlüsselauthentifizierung:

  • Vorteile: Einfach und weit verbreitet.
  • Nachteile: API-Schlüssel sind im Vergleich zu JWT weniger sicher und schwieriger zu verwalten.
  • Anwendungsfall: Einfache APIs, bei denen Sie Clients ohne Benutzerverwaltung authentifizieren möchten.

---

Abschluss

Wenn Sie etwas Schnelles und Einfaches suchen, könnte die Basisauthentifizierung funktionieren, aber denken Sie daran, HTTPS zu verwenden. Wenn Sie eine robustere, skalierbare Sicherheit wünschen, entscheiden Sie sich für JWT. Für leichtgewichtige oder interne APIs könnte die Authentifizierung mit dem API-Schlüssel ausreichen.

Welche Authentifizierungsmethode planen Sie zu verwenden oder haben Sie andere Lösungen? Lass es mich in den Kommentaren wissen!

Das obige ist der detaillierte Inhalt vonSichern einer Node.js-API: Eine einfache Anleitung zur Authentifizierung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!