Rumah > hujung hadapan web > tutorial js > Menjaga API Node.js: Panduan Mudah untuk Pengesahan

Menjaga API Node.js: Panduan Mudah untuk Pengesahan

DDD
Lepaskan: 2024-09-19 00:29:32
asal
942 orang telah melayarinya

Securing a Node.js API: A Simple Guide to Authentication

Saya membina API Node.js dan ingin melindunginya, jadi saya menyemak beberapa pilihan yang perlu saya pilih. Jadi, saya akan membimbing anda melalui tiga kaedah pengesahan biasa: Pengesahan Asas, JWT (Token Web JSON) dan Kunci API.

1. Pengesahan Asas

Apa itu?

Pengesahan Asas adalah semudah yang diperolehi. Pelanggan menghantar nama pengguna dan kata laluan dengan setiap permintaan dalam pengepala Kebenaran. Walaupun mudah untuk dilaksanakan, ia bukanlah yang paling selamat melainkan anda menggunakan HTTPS kerana bukti kelayakan hanya dikodkan base64 (tidak disulitkan).

Cara Melaksanakannya

Untuk menambahkan Pengesahan Asas pada API anda menggunakan Express, inilah yang anda perlukan:

  1. Pasang pakej pengesahan asas:
   npm install basic-auth
Salin selepas log masuk
  1. Tambah perisian tengah pengesahan:
   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });
Salin selepas log masuk

Menguji Ia

Gunakan curl untuk menguji Pengesahan Asas anda:

curl -u your-username:your-password http://localhost:3000/
Salin selepas log masuk

Petua: Sentiasa gunakan Pengesahan Asas melalui HTTPS untuk memastikan bukti kelayakan dilindungi.


2. JWT (Token Web JSON)

Apa itu?

JWT ialah cara yang lebih selamat dan berskala untuk mengesahkan pengguna. Daripada menghantar bukti kelayakan dengan setiap permintaan, pelayan menjana token semasa log masuk. Pelanggan memasukkan token ini dalam pengepala Kebenaran untuk permintaan seterusnya.

Cara Melaksanakannya

Mula-mula, pasang pakej yang diperlukan:

npm install jsonwebtoken express-jwt
Salin selepas log masuk

Berikut ialah contoh cara anda boleh menyediakan pengesahan JWT:

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
Salin selepas log masuk

Menguji Ia

Pertama, log masuk untuk mendapatkan token:

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
Salin selepas log masuk

Kemudian, gunakan token untuk mengakses laluan yang dilindungi:

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
Salin selepas log masuk

JWT bagus kerana token mempunyai masa tamat tempoh, dan kelayakan tidak perlu dihantar dengan setiap permintaan.


3. Pengesahan Kunci API

Apa itu?

Pengesahan Kunci API adalah mudah: anda memberikan setiap pelanggan kunci unik dan mereka memasukkannya ke dalam permintaan mereka. Ia mudah untuk dilaksanakan tetapi tidak selamat atau fleksibel seperti JWT, kerana kunci yang sama digunakan semula berulang kali. Pada akhirnya adalah penyelesaian yang mantap, boleh digunakan dengan mudah untuk mengehadkan bilangan panggilan api dan banyak laman web menggunakannya. Sebagai langkah keselamatan tambahan, permintaan boleh dihadkan kepada ip tertentu.

Cara Melaksanakannya

Anda tidak memerlukan sebarang pakej khas untuk ini, tetapi menggunakan dotenv untuk mengurus kunci API anda adalah idea yang baik. Mula-mula, pasang dotenv:

npm install dotenv
Salin selepas log masuk

Kemudian, cipta API anda dengan pengesahan Kunci API:

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
Salin selepas log masuk

Menguji Ia

Anda boleh menguji pengesahan Kunci API anda dengan:

curl http://localhost:3000/?api_key=your-api-key
Salin selepas log masuk

Atau menggunakan pengepala tersuai:

curl -H "x-api-key: your-api-key" http://localhost:3000/
Salin selepas log masuk

Ringkasan Kaedah Pengesahan

  • Pengesahan Asas:

    • Kebaikan: Mudah disediakan.
    • Keburukan: Bukti kelayakan dihantar dengan setiap permintaan, jadi ia harus digunakan melalui HTTPS.
    • Kes penggunaan: API ringkas dengan bilangan pengguna yang kecil.
  • Pengesahan JWT:

    • Kebaikan: Selamat, tidak bernegara dan berskala dengan baik.
    • Keburukan: Lebih kompleks daripada Pengesahan Asas.
    • Kes penggunaan: API boleh skala yang memerlukan keselamatan yang teguh.
  • Pengesahan Kunci API:

    • Kebaikan: Mudah dan digunakan secara meluas.
    • Keburukan: Kunci API kurang selamat berbanding JWT dan lebih sukar untuk diurus.
    • Kes penggunaan: API mudah yang anda mahu mengesahkan pelanggan tanpa pengurusan pengguna.

Kesimpulan

Jika anda sedang mencari sesuatu yang cepat dan mudah, Pengesahan Asas boleh berfungsi, tetapi ingat untuk menggunakan HTTPS. Jika anda mahukan keselamatan yang lebih teguh dan berskala, gunakan JWT. Untuk API ringan atau dalaman, pengesahan Kunci API mungkin mencukupi.

Kaedah pengesahan manakah yang anda rancang untuk gunakan atau adakah anda mempunyai penyelesaian lain? Beritahu saya dalam ulasan!

Atas ialah kandungan terperinci Menjaga API Node.js: Panduan Mudah untuk Pengesahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

sumber:dev.to
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan