cari
Rumahhujung hadapan webtutorial jsMenjaga API Node.js: Panduan Mudah untuk Pengesahan

Menjaga API Node.js: Panduan Mudah untuk Pengesahan

DDD
DDD
Sep 19, 2024 am 12:29 AM

Securing a Node.js API: A Simple Guide to Authentication

Saya membina API Node.js dan ingin melindunginya, jadi saya menyemak beberapa pilihan yang perlu saya pilih. Jadi, saya akan membimbing anda melalui tiga kaedah pengesahan biasa: Pengesahan Asas, JWT (Token Web JSON) dan Kunci API.

1. Pengesahan Asas

Apa itu?

Pengesahan Asas adalah semudah yang diperolehi. Pelanggan menghantar nama pengguna dan kata laluan dengan setiap permintaan dalam pengepala Kebenaran. Walaupun mudah untuk dilaksanakan, ia bukanlah yang paling selamat melainkan anda menggunakan HTTPS kerana bukti kelayakan hanya dikodkan base64 (tidak disulitkan).

Cara Melaksanakannya

Untuk menambahkan Pengesahan Asas pada API anda menggunakan Express, inilah yang anda perlukan:

  1. Pasang pakej pengesahan asas: 
   npm install basic-auth
  1. Tambah perisian tengah pengesahan: 
   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });

Menguji Ia

Gunakan curl untuk menguji Pengesahan Asas anda:

curl -u your-username:your-password http://localhost:3000/

Petua: Sentiasa gunakan Pengesahan Asas melalui HTTPS untuk memastikan bukti kelayakan dilindungi.

2. JWT (Token Web JSON)

Apa itu?

JWT ialah cara yang lebih selamat dan berskala untuk mengesahkan pengguna. Daripada menghantar bukti kelayakan dengan setiap permintaan, pelayan menjana token semasa log masuk. Pelanggan memasukkan token ini dalam pengepala Kebenaran untuk permintaan seterusnya.

Cara Melaksanakannya

Mula-mula, pasang pakej yang diperlukan:

npm install jsonwebtoken express-jwt

Berikut ialah contoh cara anda boleh menyediakan pengesahan JWT:

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

Menguji Ia

Pertama, log masuk untuk mendapatkan token:

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"

Kemudian, gunakan token untuk mengakses laluan yang dilindungi:

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
</your-token>

JWT bagus kerana token mempunyai masa tamat tempoh, dan kelayakan tidak perlu dihantar dengan setiap permintaan.

3. Pengesahan Kunci API

Apa itu?

Pengesahan Kunci API adalah mudah: anda memberikan setiap pelanggan kunci unik dan mereka memasukkannya ke dalam permintaan mereka. Ia mudah untuk dilaksanakan tetapi tidak selamat atau fleksibel seperti JWT, kerana kunci yang sama digunakan semula berulang kali. Pada akhirnya adalah penyelesaian yang mantap, boleh digunakan dengan mudah untuk mengehadkan bilangan panggilan api dan banyak laman web menggunakannya. Sebagai langkah keselamatan tambahan, permintaan boleh dihadkan kepada ip tertentu.

Cara Melaksanakannya

Anda tidak memerlukan sebarang pakej khas untuk ini, tetapi menggunakan dotenv untuk mengurus kunci API anda adalah idea yang baik. Mula-mula, pasang dotenv:

npm install dotenv

Kemudian, cipta API anda dengan pengesahan Kunci API:

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

Menguji Ia

Anda boleh menguji pengesahan Kunci API anda dengan:

curl http://localhost:3000/?api_key=your-api-key

Atau menggunakan pengepala tersuai:

curl -H "x-api-key: your-api-key" http://localhost:3000/

Ringkasan Kaedah Pengesahan

  • Pengesahan Asas:

    • Kebaikan: Mudah disediakan.
    • Keburukan: Bukti kelayakan dihantar dengan setiap permintaan, jadi ia harus digunakan melalui HTTPS.
    • Kes penggunaan: API ringkas dengan bilangan pengguna yang kecil.

  • Pengesahan JWT:

    • Kebaikan: Selamat, tidak bernegara dan berskala dengan baik.
    • Keburukan: Lebih kompleks daripada Pengesahan Asas.
    • Kes penggunaan: API boleh skala yang memerlukan keselamatan yang teguh.

  • Pengesahan Kunci API:

    • Kebaikan: Mudah dan digunakan secara meluas.
    • Keburukan: Kunci API kurang selamat berbanding JWT dan lebih sukar untuk diurus.
    • Kes penggunaan: API mudah yang anda mahu mengesahkan pelanggan tanpa pengurusan pengguna.

Kesimpulan

Jika anda sedang mencari sesuatu yang cepat dan mudah, Pengesahan Asas boleh berfungsi, tetapi ingat untuk menggunakan HTTPS. Jika anda mahukan keselamatan yang lebih teguh dan berskala, gunakan JWT. Untuk API ringan atau dalaman, pengesahan Kunci API mungkin mencukupi.

Kaedah pengesahan manakah yang anda rancang untuk gunakan atau adakah anda mempunyai penyelesaian lain? Beritahu saya dalam ulasan!

Atas ialah kandungan terperinci Menjaga API Node.js: Panduan Mudah untuk Pengesahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Enjin JavaScript: Membandingkan PelaksanaanEnjin JavaScript: Membandingkan PelaksanaanApr 13, 2025 am 12:05 AM

Enjin JavaScript yang berbeza mempunyai kesan yang berbeza apabila menguraikan dan melaksanakan kod JavaScript, kerana prinsip pelaksanaan dan strategi pengoptimuman setiap enjin berbeza. 1. Analisis leksikal: Menukar kod sumber ke dalam unit leksikal. 2. Analisis Tatabahasa: Menjana pokok sintaks abstrak. 3. Pengoptimuman dan Penyusunan: Menjana kod mesin melalui pengkompil JIT. 4. Jalankan: Jalankan kod mesin. Enjin V8 mengoptimumkan melalui kompilasi segera dan kelas tersembunyi, Spidermonkey menggunakan sistem kesimpulan jenis, menghasilkan prestasi prestasi yang berbeza pada kod yang sama.

Beyond the Browser: JavaScript di dunia nyataBeyond the Browser: JavaScript di dunia nyataApr 12, 2025 am 12:06 AM

Aplikasi JavaScript di dunia nyata termasuk pengaturcaraan sisi pelayan, pembangunan aplikasi mudah alih dan Internet of Things Control: 1. Pengaturcaraan sisi pelayan direalisasikan melalui node.js, sesuai untuk pemprosesan permintaan serentak yang tinggi. 2. Pembangunan aplikasi mudah alih dijalankan melalui reaktnatif dan menyokong penggunaan silang platform. 3. Digunakan untuk kawalan peranti IoT melalui Perpustakaan Johnny-Five, sesuai untuk interaksi perkakasan.

Membina aplikasi SaaS Multi-penyewa dengan Next.js (Integrasi Backend)Membina aplikasi SaaS Multi-penyewa dengan Next.js (Integrasi Backend)Apr 11, 2025 am 08:23 AM

Saya membina aplikasi SaaS multi-penyewa berfungsi (aplikasi edTech) dengan alat teknologi harian anda dan anda boleh melakukan perkara yang sama. Pertama, apakah aplikasi SaaS multi-penyewa? Aplikasi SaaS Multi-penyewa membolehkan anda melayani beberapa pelanggan dari Sing

Cara Membina Aplikasi SaaS Multi-Tenant dengan Next.js (Integrasi Frontend)Cara Membina Aplikasi SaaS Multi-Tenant dengan Next.js (Integrasi Frontend)Apr 11, 2025 am 08:22 AM

Artikel ini menunjukkan integrasi frontend dengan backend yang dijamin oleh permit, membina aplikasi edtech SaaS yang berfungsi menggunakan Next.Js. Frontend mengambil kebenaran pengguna untuk mengawal penglihatan UI dan memastikan permintaan API mematuhi dasar peranan

JavaScript: meneroka serba boleh bahasa webJavaScript: meneroka serba boleh bahasa webApr 11, 2025 am 12:01 AM

JavaScript adalah bahasa utama pembangunan web moden dan digunakan secara meluas untuk kepelbagaian dan fleksibiliti. 1) Pembangunan front-end: Membina laman web dinamik dan aplikasi satu halaman melalui operasi DOM dan kerangka moden (seperti React, Vue.js, sudut). 2) Pembangunan sisi pelayan: Node.js menggunakan model I/O yang tidak menyekat untuk mengendalikan aplikasi konkurensi tinggi dan masa nyata. 3) Pembangunan aplikasi mudah alih dan desktop: Pembangunan silang platform direalisasikan melalui reaktnatif dan elektron untuk meningkatkan kecekapan pembangunan.

Evolusi JavaScript: Trend Semasa dan Prospek Masa DepanEvolusi JavaScript: Trend Semasa dan Prospek Masa DepanApr 10, 2025 am 09:33 AM

Trend terkini dalam JavaScript termasuk kebangkitan TypeScript, populariti kerangka dan perpustakaan moden, dan penerapan webassembly. Prospek masa depan meliputi sistem jenis yang lebih berkuasa, pembangunan JavaScript, pengembangan kecerdasan buatan dan pembelajaran mesin, dan potensi pengkomputeran IoT dan kelebihan.

Demystifying JavaScript: Apa yang berlaku dan mengapa pentingDemystifying JavaScript: Apa yang berlaku dan mengapa pentingApr 09, 2025 am 12:07 AM

JavaScript adalah asas kepada pembangunan web moden, dan fungsi utamanya termasuk pengaturcaraan yang didorong oleh peristiwa, penjanaan kandungan dinamik dan pengaturcaraan tak segerak. 1) Pengaturcaraan yang didorong oleh peristiwa membolehkan laman web berubah secara dinamik mengikut operasi pengguna. 2) Penjanaan kandungan dinamik membolehkan kandungan halaman diselaraskan mengikut syarat. 3) Pengaturcaraan Asynchronous memastikan bahawa antara muka pengguna tidak disekat. JavaScript digunakan secara meluas dalam interaksi web, aplikasi satu halaman dan pembangunan sisi pelayan, sangat meningkatkan fleksibiliti pengalaman pengguna dan pembangunan silang platform.

Adakah Python atau JavaScript lebih baik?Adakah Python atau JavaScript lebih baik?Apr 06, 2025 am 12:14 AM

Python lebih sesuai untuk sains data dan pembelajaran mesin, manakala JavaScript lebih sesuai untuk pembangunan front-end dan penuh. 1. Python terkenal dengan sintaks ringkas dan ekosistem perpustakaan yang kaya, dan sesuai untuk analisis data dan pembangunan web. 2. JavaScript adalah teras pembangunan front-end. Node.js menyokong pengaturcaraan sisi pelayan dan sesuai untuk pembangunan stack penuh.

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. Tetapan grafik terbaik
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Assassin's Creed Shadows: Penyelesaian Riddle Seashell
2 minggu yang laluByDDD
R.E.P.O. Cara Memperbaiki Audio Jika anda tidak dapat mendengar sesiapa
3 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
WWE 2K25: Cara Membuka Segala -galanya Di Myrise
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Tunjukkan Lagi

Alat panas

mPDF

mPDF

mPDF ialah perpustakaan PHP yang boleh menjana fail PDF daripada HTML yang dikodkan UTF-8. Pengarang asal, Ian Back, menulis mPDF untuk mengeluarkan fail PDF "dengan cepat" dari tapak webnya dan mengendalikan bahasa yang berbeza. Ia lebih perlahan dan menghasilkan fail yang lebih besar apabila menggunakan fon Unicode daripada skrip asal seperti HTML2FPDF, tetapi menyokong gaya CSS dsb. dan mempunyai banyak peningkatan. Menyokong hampir semua bahasa, termasuk RTL (Arab dan Ibrani) dan CJK (Cina, Jepun dan Korea). Menyokong elemen peringkat blok bersarang (seperti P, DIV),

Versi Mac WebStorm

Versi Mac WebStorm

Alat pembangunan JavaScript yang berguna

VSCode Windows 64-bit Muat Turun

VSCode Windows 64-bit Muat Turun

Editor IDE percuma dan berkuasa yang dilancarkan oleh Microsoft

EditPlus versi Cina retak

EditPlus versi Cina retak

Saiz kecil, penyerlahan sintaks, tidak menyokong fungsi gesaan kod

MantisBT

MantisBT

Mantis ialah alat pengesan kecacatan berasaskan web yang mudah digunakan yang direka untuk membantu dalam pengesanan kecacatan produk. Ia memerlukan PHP, MySQL dan pelayan web. Lihat perkhidmatan demo dan pengehosan kami.

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7485
15
Tutorial CakePHP
1377
52
Apakah format nama akaun stim
77
11
kunci pengaktifan win11 kekal
51
19
Sambungan NYT menunjukkan dan jawapan
19
38
Tunjukkan Lagi