保護 Node.js API：身份驗證簡單指南-js教程-PHP中文網

首頁

web前端

js教程

保護 Node.js API：身份驗證簡單指南

DDD

Sep 19, 2024 am 12:29 AM

Securing a Node.js API: A Simple Guide to Authentication

我建立了一個 Node.js API 並想要保護它，所以我檢查了必須選擇的幾個選項。因此，我將引導您了解三種常見的驗證方法：基本驗證、JWT（JSON Web 令牌） 和 API 金鑰。

1. 基本認證

它是什麼？

基本驗證非常簡單。客戶端在 Authorization 標頭中隨每個請求發送使用者名稱和密碼。雖然它很容易實現，但它並不是最安全的，除非您使用 HTTPS，因為憑證僅採用 Base64 編碼（未加密）。

如何實施

要使用 Express 將基本驗證新增至您的 API，您需要：

安裝 basic-auth 套件：

   npm install basic-auth

新增身份驗證中間件：

   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });

測試它

使用curl測試您的基本驗證：

curl -u your-username:your-password http://localhost:3000/

提示：始終使用 HTTPS 上的基本驗證以確保憑證受到保護。

2.JWT（JSON網路令牌）

它是什麼？

JWT 是一種更安全且可擴展的使用者驗證方式。伺服器不會在每個請求中發送憑證，而是在登入時產生令牌。用戶端將此令牌包含在後續請求的 Authorization 標頭中。

如何實施

首先，安裝所需的軟體包：

npm install jsonwebtoken express-jwt

以下是如何設定 JWT 驗證的範例：

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

測試它

首先，登入取得令牌：

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"

然後，使用令牌存取受保護的路由：

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
</your-token>

JWT 很棒，因為令牌有過期時間，並且不必在每個請求中發送憑證。

3.API金鑰認證

它是什麼？

API 金鑰驗證很簡單：您為每個用戶端提供一個唯一的金鑰，並將其包含在請求中。它很容易實現，但不如 JWT 安全或靈活，因為相同的金鑰會一遍又一遍地重複使用。最終是一個強大的解決方案，可以輕鬆地用於限制 api 調用的數量，並且許多網站都在使用它。作為額外的安全措施，可以將請求限製到特定的 IP。

如何實施

您不需要任何特殊的軟體包，但使用 dotenv 來管理您的 API 金鑰是個好主意。首先，安裝dotenv：

npm install dotenv

然後，使用 API 金鑰驗證建立您的 API：

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});

測試它

您可以使用以下方法測試您的 API 金鑰驗證：

curl http://localhost:3000/?api_key=your-api-key

或使用自訂標頭：

curl -H "x-api-key: your-api-key" http://localhost:3000/

認證方法總結

基本驗證：
- 優點：易於設定。
- 缺點：憑證會隨每個請求一起傳送，因此應透過 HTTPS 使用。
- 用例：使用者數量較少的簡單 API。
JWT 驗證：
- 優點：安全、無狀態且可擴充性良好。
- 缺點：比基本驗證更複雜。
- 用例：需要強大安全性的可擴充 API。
API 金鑰驗證：
- 優點：簡單且使用廣泛。
- 缺點：與 JWT 相比，API 金鑰安全性較低，且較難管理。
- 使用案例：您想要在沒有使用者管理的情況下對客戶端進行身份驗證的簡單 API。

結論

如果您正在尋找快速簡單的方法，基本驗證 可以使用，但請記住使用 HTTPS。如果您想要更強大、可擴充的安全性，請選擇 JWT。對於輕量級或內部 API，API 金鑰 驗證可能就足夠了。

您打算使用哪種身份驗證方法或您有其他解決方案嗎？請在評論中告訴我！

以上是保護 Node.js API：身份驗證簡單指南的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

Python和JavaScript：了解每個的優勢May 06, 2025 am 12:15 AM

Python和JavaScript各有優勢，選擇取決於項目需求和個人偏好。 1.Python易學，語法簡潔，適用於數據科學和後端開發，但執行速度較慢。 2.JavaScript在前端開發中無處不在，異步編程能力強，Node.js使其適用於全棧開發，但語法可能複雜且易出錯。

JavaScript的核心：它是在C還是C上構建的？May 05, 2025 am 12:07 AM

javascriptisnotbuiltoncorc; sanInterpretedlanguagethatrunsonenginesoftenwritteninc.1）JavascriptwasdesignedAsignedAsalightWeight，drackendedlanguageforwebbrowsers.2）Enginesevolvedfromsimpleterterpretpretpretpretpreterterpretpretpretpretpretpretpretpretpretcompilerers，典型地，替代品。

JavaScript應用程序：從前端到後端May 04, 2025 am 12:12 AM

JavaScript可用於前端和後端開發。前端通過DOM操作增強用戶體驗，後端通過Node.js處理服務器任務。 1.前端示例：改變網頁文本內容。 2.後端示例：創建Node.js服務器。

Python vs. JavaScript：您應該學到哪種語言？May 03, 2025 am 12:10 AM

選擇Python還是JavaScript應基於職業發展、學習曲線和生態系統：1)職業發展：Python適合數據科學和後端開發，JavaScript適合前端和全棧開發。 2)學習曲線：Python語法簡潔，適合初學者；JavaScript語法靈活。 3)生態系統：Python有豐富的科學計算庫，JavaScript有強大的前端框架。

JavaScript框架：為現代網絡開發提供動力May 02, 2025 am 12:04 AM

JavaScript框架的強大之處在於簡化開發、提升用戶體驗和應用性能。選擇框架時應考慮：1.項目規模和復雜度，2.團隊經驗，3.生態系統和社區支持。

JavaScript，C和瀏覽器之間的關係May 01, 2025 am 12:06 AM

引言我知道你可能會覺得奇怪，JavaScript、C 和瀏覽器之間到底有什麼關係？它們之間看似毫無關聯，但實際上，它們在現代網絡開發中扮演著非常重要的角色。今天我們就來深入探討一下這三者之間的緊密聯繫。通過這篇文章，你將了解到JavaScript如何在瀏覽器中運行，C 在瀏覽器引擎中的作用，以及它們如何共同推動網頁的渲染和交互。 JavaScript與瀏覽器的關係我們都知道，JavaScript是前端開發的核心語言，它直接在瀏覽器中運行，讓網頁變得生動有趣。你是否曾經想過，為什麼JavaScr