コミュニティ
学ぶ
ツールライブラリ
AIツール
レジャー
検索
日本語
ホームページ ウェブフロントエンド jsチュートリアル Node.js API のセキュリティ保護: 認証の簡単なガイド

Node.js API のセキュリティ保護: 認証の簡単なガイド

DDD
DDD
Sep 19, 2024 am 12:29 AM

Securing a Node.js API: A Simple Guide to Authentication

Node.js API を構築し、それをセキュリティで保護したいので、選択する必要があるいくつかのオプションを確認しました。そこで、基本認証JWT (JSON Web Token)API キーという 3 つの一般的な認証方法について説明します。

1.ベーシック認証

それは何ですか?

Basic 認証は非常に簡単です。クライアントは、各リクエストの Authorization ヘッダーでユーザー名とパスワードを送信します。実装は簡単ですが、資格情報は Base64 でのみエンコードされる (暗号化されない) ため、HTTPS を使用しない限り、最も安全であるとは言えません。

実装方法

Express を使用して API に Basic 認証を追加するには、次のものが必要です:

  1. basic-auth パッケージをインストールします。 
   npm install basic-auth
ログイン後にコピー
  1. 認証ミドルウェアを追加します。 
   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });
ログイン後にコピー

テストしてみる

curl を使用して基本認証をテストします:

curl -u your-username:your-password http://localhost:3000/
ログイン後にコピー

ヒント: 認証情報が確実に保護されるように、常に HTTPS 経由の基本認証を使用してください。

2. JWT (JSON ウェブトークン)

それは何ですか?

JWT は、ユーザーを認証するためのより安全でスケーラブルな方法です。リクエストごとに認証情報を送信する代わりに、サーバーはログイン時にトークンを生成します。クライアントは、後続のリクエストの Authorization ヘッダーにこのトークンを含めます。

実装方法

まず、必要なパッケージをインストールします。

npm install jsonwebtoken express-jwt
ログイン後にコピー

JWT 認証を設定する方法の例を次に示します:

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
ログイン後にコピー

テストしてみる

まず、ログインしてトークンを取得します:

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
ログイン後にコピー

次に、トークンを使用して保護されたルートにアクセスします。

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
ログイン後にコピー

JWT は、トークンに有効期限があり、リクエストごとに資格情報を送信する必要がないため、優れています。

3. APIキー認証

それは何ですか?

API キー認証は簡単です。各クライアントに一意のキーを与え、クライアントはそれをリクエストに含めます。実装は簡単ですが、同じキーが何度も再利用されるため、JWT ほど安全性や柔軟性はありません。最終的には、API 呼び出しの数を制限するために簡単に使用できる堅牢なソリューションが得られ、多くの Web サイトで使用されています。追加のセキュリティ対策として、リクエストを特定の IP に制限できます。

実装方法

これには特別なパッケージは必要ありませんが、dotenv を使用して API キーを管理することをお勧めします。まず、dotenv をインストールします:

npm install dotenv
ログイン後にコピー

次に、API キー認証を使用して API を作成します。

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
ログイン後にコピー

テストしてみる

次の方法で API キー認証をテストできます:

curl http://localhost:3000/?api_key=your-api-key
ログイン後にコピー

またはカスタムヘッダーを使用します:

curl -H "x-api-key: your-api-key" http://localhost:3000/
ログイン後にコピー

認証方式の概要

  • 基本認証:

    • 長所: セットアップが簡単です。
    • 短所: 資格情報はリクエストごとに送信されるため、HTTPS 経由で使用する必要があります。
    • ユースケース: 少数のユーザーによるシンプルな API。

  • JWT 認証:

    • 長所: 安全で、ステートレスで、拡張性に優れています。
    • 短所: 基本認証よりも複雑です。
    • ユースケース: 堅牢なセキュリティを必要とするスケーラブルな API。

  • API キー認証:

    • 長所: シンプルで広く使用されています。
    • 短所: API キーは JWT に比べて安全性が低く、管理が困難です。
    • ユースケース: ユーザー管理を行わずにクライアントを認証する単純な API。

結論

すばやく簡単な認証を探している場合は、基本認証 を使用できますが、HTTPS を使用することを忘れないでください。より堅牢でスケーラブルなセキュリティが必要な場合は、JWT を選択してください。軽量 API または内部 API の場合は、API キー 認証で十分な場合があります。

どの認証方法を使用する予定ですか、それとも他のソリューションがありますか?コメント欄でお知らせください!

以上がNode.js API のセキュリティ保護: 認証の簡単なガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

Windows11 KB5054979の新しいものと更新の問題を修正する方法
1 か月前 By DDD
KB5055523を修正する方法Windows 11にインストールできませんか?
3週間前 By DDD
KB5055518を修正する方法Windows 10にインストールできませんか?
3週間前 By DDD
R.E.P.O.のすべての敵とモンスターの強度レベル
3週間前 By 尊渡假赌尊渡假赌尊渡假赌
ブループリンス:地下室への行き方
3週間前 By DDD
もっと見る

ホットツール

メモ帳++7.3.1

メモ帳++7.3.1

使いやすく無料のコードエディター

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SublimeText3 Mac版

SublimeText3 Mac版

神レベルのコード編集ソフト(SublimeText3)

もっと見る

ホットトピック

Java チュートリアル
1653
14
CakePHP チュートリアル
1413
52
Laravel チュートリアル
1304
25
PHP チュートリアル
1251
29
C# チュートリアル
1224
24
もっと見る
Related knowledge
フロントエンドのサーマルペーパーレシートのために文字化けしたコード印刷に遭遇した場合はどうすればよいですか? フロントエンドのサーマルペーパーレシートのために文字化けしたコード印刷に遭遇した場合はどうすればよいですか? Apr 04, 2025 pm 02:42 PM

フロントエンドのサーマルペーパーチケット印刷のためのよくある質問とソリューションフロントエンド開発におけるチケット印刷は、一般的な要件です。しかし、多くの開発者が実装しています...

javascriptの分解:それが何をするのか、なぜそれが重要なのか javascriptの分解:それが何をするのか、なぜそれが重要なのか Apr 09, 2025 am 12:07 AM

JavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1)イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2)動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3)非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。

誰がより多くのPythonまたはJavaScriptを支払われますか? 誰がより多くのPythonまたはJavaScriptを支払われますか? Apr 04, 2025 am 12:09 AM

スキルや業界のニーズに応じて、PythonおよびJavaScript開発者には絶対的な給与はありません。 1. Pythonは、データサイエンスと機械学習でさらに支払われる場合があります。 2。JavaScriptは、フロントエンドとフルスタックの開発に大きな需要があり、その給与もかなりです。 3。影響要因には、経験、地理的位置、会社の規模、特定のスキルが含まれます。

Shiseidoの公式Webサイトのように、視差スクロールと要素のアニメーション効果を実現する方法は? または: Shiseidoの公式Webサイトのようにスクロールするページを伴うアニメーション効果をどのように実現できますか? Shiseidoの公式Webサイトのように、視差スクロールと要素のアニメーション効果を実現する方法は? または: Shiseidoの公式Webサイトのようにスクロールするページを伴うアニメーション効果をどのように実現できますか? Apr 04, 2025 pm 05:36 PM

この記事の視差スクロールと要素のアニメーション効果の実現に関する議論では、Shiseidoの公式ウェブサイト(https://www.shisido.co.co.jp/sb/wonderland/)と同様の達成方法について説明します。

JavaScriptは学ぶのが難しいですか? JavaScriptは学ぶのが難しいですか? Apr 03, 2025 am 12:20 AM

JavaScriptを学ぶことは難しくありませんが、挑戦的です。 1)変数、データ型、関数などの基本概念を理解します。2)非同期プログラミングをマスターし、イベントループを通じて実装します。 3)DOM操作を使用し、非同期リクエストを処理することを約束します。 4)一般的な間違いを避け、デバッグテクニックを使用します。 5)パフォーマンスを最適化し、ベストプラクティスに従ってください。

JavaScriptの進化:現在の傾向と将来の見通し JavaScriptの進化:現在の傾向と将来の見通し Apr 10, 2025 am 09:33 AM

JavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。

JavaScriptを使用して、同じIDを持つArray要素を1つのオブジェクトにマージする方法は? JavaScriptを使用して、同じIDを持つArray要素を1つのオブジェクトにマージする方法は? Apr 04, 2025 pm 05:09 PM

同じIDを持つ配列要素をJavaScriptの1つのオブジェクトにマージする方法は?データを処理するとき、私たちはしばしば同じIDを持つ必要性に遭遇します...

フロントエンド開発でVSCodeと同様に、パネルドラッグアンドドロップ調整機能を実装する方法は? フロントエンド開発でVSCodeと同様に、パネルドラッグアンドドロップ調整機能を実装する方法は? Apr 04, 2025 pm 02:06 PM

フロントエンドのVSCodeと同様に、パネルドラッグアンドドロップ調整機能の実装を調べます。フロントエンド開発では、VSCODEと同様のVSCODEを実装する方法...

See all articles