Saya membina API Node.js dan ingin melindunginya, jadi saya menyemak beberapa pilihan yang perlu saya pilih. Jadi, saya akan membimbing anda melalui tiga kaedah pengesahan biasa: Pengesahan Asas, JWT (Token Web JSON) dan Kunci API.
Pengesahan Asas adalah semudah yang diperolehi. Pelanggan menghantar nama pengguna dan kata laluan dengan setiap permintaan dalam pengepala Kebenaran. Walaupun mudah untuk dilaksanakan, ia bukanlah yang paling selamat melainkan anda menggunakan HTTPS kerana bukti kelayakan hanya dikodkan base64 (tidak disulitkan).
Untuk menambahkan Pengesahan Asas pada API anda menggunakan Express, inilah yang anda perlukan:
npm install basic-auth
const express = require('express'); const basicAuth = require('basic-auth'); const app = express(); function auth(req, res, next) { const user = basicAuth(req); const validUser = user && user.name === 'your-username' && user.pass === 'your-password'; if (!validUser) { res.set('WWW-Authenticate', 'Basic realm="example"'); return res.status(401).send('Authentication required.'); } next(); } app.use(auth); app.get('/', (req, res) => { res.send('Hello, authenticated user!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Gunakan curl untuk menguji Pengesahan Asas anda:
curl -u your-username:your-password http://localhost:3000/
Petua: Sentiasa gunakan Pengesahan Asas melalui HTTPS untuk memastikan bukti kelayakan dilindungi.
JWT ialah cara yang lebih selamat dan berskala untuk mengesahkan pengguna. Daripada menghantar bukti kelayakan dengan setiap permintaan, pelayan menjana token semasa log masuk. Pelanggan memasukkan token ini dalam pengepala Kebenaran untuk permintaan seterusnya.
Mula-mula, pasang pakej yang diperlukan:
npm install jsonwebtoken express-jwt
Berikut ialah contoh cara anda boleh menyediakan pengesahan JWT:
const express = require('express'); const jwt = require('jsonwebtoken'); const expressJwt = require('express-jwt'); const app = express(); const secret = 'your-secret-key'; // Middleware to protect routes const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] }); app.use(express.json()); // Parse JSON bodies // Login route to generate JWT token app.post('/login', (req, res) => { const { username, password } = req.body; if (username === 'user' && password === 'password') { const token = jwt.sign({ username }, secret, { expiresIn: '1h' }); return res.json({ token }); } return res.status(401).json({ message: 'Invalid credentials' }); }); // Protected route app.get('/protected', jwtMiddleware, (req, res) => { res.send('This is a protected route. You are authenticated!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Pertama, log masuk untuk mendapatkan token:
curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
Kemudian, gunakan token untuk mengakses laluan yang dilindungi:
curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
JWT bagus kerana token mempunyai masa tamat tempoh, dan kelayakan tidak perlu dihantar dengan setiap permintaan.
Pengesahan Kunci API adalah mudah: anda memberikan setiap pelanggan kunci unik dan mereka memasukkannya ke dalam permintaan mereka. Ia mudah untuk dilaksanakan tetapi tidak selamat atau fleksibel seperti JWT, kerana kunci yang sama digunakan semula berulang kali. Pada akhirnya adalah penyelesaian yang mantap, boleh digunakan dengan mudah untuk mengehadkan bilangan panggilan api dan banyak laman web menggunakannya. Sebagai langkah keselamatan tambahan, permintaan boleh dihadkan kepada ip tertentu.
Anda tidak memerlukan sebarang pakej khas untuk ini, tetapi menggunakan dotenv untuk mengurus kunci API anda adalah idea yang baik. Mula-mula, pasang dotenv:
npm install dotenv
Kemudian, cipta API anda dengan pengesahan Kunci API:
require('dotenv').config(); const express = require('express'); const app = express(); const API_KEY = process.env.API_KEY || 'your-api-key'; function checkApiKey(req, res, next) { const apiKey = req.query.api_key || req.headers['x-api-key']; if (apiKey === API_KEY) { next(); } else { res.status(403).send('Forbidden: Invalid API Key'); } } app.use(checkApiKey); app.get('/', (req, res) => { res.send('Hello, authenticated user with a valid API key!'); }); const PORT = process.env.PORT || 3000; app.listen(PORT, () => { console.log(`Server is running on port ${PORT}`); });
Anda boleh menguji pengesahan Kunci API anda dengan:
curl http://localhost:3000/?api_key=your-api-key
Atau menggunakan pengepala tersuai:
curl -H "x-api-key: your-api-key" http://localhost:3000/
Pengesahan Asas:
Pengesahan JWT:
Pengesahan Kunci API:
Jika anda sedang mencari sesuatu yang cepat dan mudah, Pengesahan Asas boleh berfungsi, tetapi ingat untuk menggunakan HTTPS. Jika anda mahukan keselamatan yang lebih teguh dan berskala, gunakan JWT. Untuk API ringan atau dalaman, pengesahan Kunci API mungkin mencukupi.
Kaedah pengesahan manakah yang anda rancang untuk gunakan atau adakah anda mempunyai penyelesaian lain? Beritahu saya dalam ulasan!
Atas ialah kandungan terperinci Menjaga API Node.js: Panduan Mudah untuk Pengesahan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!