Heim > Artikel > Web-Frontend > Sichern einer Node.js-API: Eine einfache Anleitung zur Authentifizierung
Ich habe eine Node.js-API erstellt und möchte sie sichern, also habe ich die wenigen Optionen überprüft, aus denen ich wählen kann. Deshalb werde ich Sie durch drei gängige Authentifizierungsmethoden führen: Basisauthentifizierung, JWT (JSON Web Tokens) und API-Schlüssel.
Die Basisauthentifizierung ist so einfach wie es nur geht. Der Client sendet bei jeder Anfrage im Header Authorization einen Benutzernamen und ein Passwort. Obwohl es einfach zu implementieren ist, ist es nicht das sicherste, es sei denn, Sie verwenden HTTPS, da die Anmeldeinformationen nur Base64-codiert (nicht verschlüsselt) sind.
Um die Standardauthentifizierung mithilfe von Express zu Ihrer API hinzuzufügen, benötigen Sie Folgendes:
npm install basic-auth
const express = require('express'); const basicAuth = require('basic-auth'); const app = express(); function auth(req, res, next) { const user = basicAuth(req); const validUser = user && user.name === 'your-username' && user.pass === 'your-password'; if (!validUser) { res.set('WWW-Authenticate', 'Basic realm="example"'); return res.status(401).send('Authentication required.'); } next(); } app.use(auth); app.get('/', (req, res) => { res.send('Hello, authenticated user!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Verwenden Sie Curl, um Ihre Basisauthentifizierung zu testen:
curl -u your-username:your-password http://localhost:3000/
Tipp:Verwenden Sie immer die Standardauthentifizierung über HTTPS, um sicherzustellen, dass die Anmeldeinformationen geschützt sind.
JWT ist eine sicherere und skalierbarere Methode zur Authentifizierung von Benutzern. Anstatt bei jeder Anfrage Anmeldeinformationen zu senden, generiert der Server beim Anmelden ein Token. Der Client fügt dieses Token für nachfolgende Anfragen in den Header Authorization ein.
Installieren Sie zunächst die erforderlichen Pakete:
npm install jsonwebtoken express-jwt
Hier ist ein Beispiel, wie Sie die JWT-Authentifizierung einrichten können:
const express = require('express'); const jwt = require('jsonwebtoken'); const expressJwt = require('express-jwt'); const app = express(); const secret = 'your-secret-key'; // Middleware to protect routes const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] }); app.use(express.json()); // Parse JSON bodies // Login route to generate JWT token app.post('/login', (req, res) => { const { username, password } = req.body; if (username === 'user' && password === 'password') { const token = jwt.sign({ username }, secret, { expiresIn: '1h' }); return res.json({ token }); } return res.status(401).json({ message: 'Invalid credentials' }); }); // Protected route app.get('/protected', jwtMiddleware, (req, res) => { res.send('This is a protected route. You are authenticated!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Melden Sie sich zunächst an, um ein Token zu erhalten:
curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
Verwenden Sie dann das Token, um auf eine geschützte Route zuzugreifen:
curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
JWT ist großartig, weil das Token eine Ablaufzeit hat und Anmeldeinformationen nicht bei jeder Anfrage gesendet werden müssen.
Die API-Schlüsselauthentifizierung ist einfach: Sie geben jedem Client einen eindeutigen Schlüssel und er fügt ihn in seine Anfragen ein. Es ist einfach zu implementieren, aber nicht so sicher oder flexibel wie JWT, da derselbe Schlüssel immer wieder verwendet wird. Letztendlich handelt es sich um eine robuste Lösung, die problemlos zur Begrenzung der Anzahl der API-Aufrufe verwendet werden kann und von vielen Websites verwendet wird. Als zusätzliche Sicherheitsmaßnahme können Anfragen auf eine bestimmte IP beschränkt werden.
Sie benötigen hierfür keine speziellen Pakete, aber die Verwendung von dotenv zur Verwaltung Ihrer API-Schlüssel ist eine gute Idee. Installieren Sie zunächst dotenv:
npm install dotenv
Dann erstellen Sie Ihre API mit API-Schlüsselauthentifizierung:
require('dotenv').config(); const express = require('express'); const app = express(); const API_KEY = process.env.API_KEY || 'your-api-key'; function checkApiKey(req, res, next) { const apiKey = req.query.api_key || req.headers['x-api-key']; if (apiKey === API_KEY) { next(); } else { res.status(403).send('Forbidden: Invalid API Key'); } } app.use(checkApiKey); app.get('/', (req, res) => { res.send('Hello, authenticated user with a valid API key!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Sie können Ihre API-Schlüsselauthentifizierung testen mit:
curl http://localhost:3000/?api_key=your-api-key
Oder mit einem benutzerdefinierten Header:
curl -H "x-api-key: your-api-key" http://localhost:3000/
Basisauthentifizierung:
JWT-Authentifizierung:
API-Schlüsselauthentifizierung:
Wenn Sie etwas Schnelles und Einfaches suchen, könnte die Basisauthentifizierung funktionieren, aber denken Sie daran, HTTPS zu verwenden. Wenn Sie eine robustere, skalierbare Sicherheit wünschen, entscheiden Sie sich für JWT. Für leichtgewichtige oder interne APIs könnte die Authentifizierung mit dem API-Schlüssel ausreichen.
Welche Authentifizierungsmethode planen Sie zu verwenden oder haben Sie andere Lösungen? Lass es mich in den Kommentaren wissen!
Das obige ist der detaillierte Inhalt vonSichern einer Node.js-API: Eine einfache Anleitung zur Authentifizierung. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!