Node.js API 보안: 인증에 대한 간단한 가이드
Node.js API를 구축했고 이를 보호하고 싶어서 선택할 수 있는 몇 가지 옵션을 확인했습니다. 그래서 세 가지 일반적인 인증 방법인 기본 인증, JWT(JSON 웹 토큰), API 키에 대해 안내해 드리겠습니다.
1. 기본 인증
그것은 무엇입니까?
기본 인증은 매우 간단합니다. 클라이언트는 Authorization 헤더에 각 요청과 함께 사용자 이름과 비밀번호를 보냅니다. 구현하기는 쉽지만 자격 증명이 base64로만 인코딩되므로(암호화되지 않음) HTTPS를 사용하지 않는 한 가장 안전하지는 않습니다.
구현 방법
Express를 사용하여 API에 기본 인증을 추가하려면 다음이 필요합니다.
- 기본 인증 패키지를 설치합니다.
npm install basic-auth
- 인증 미들웨어 추가:
const express = require('express');
const basicAuth = require('basic-auth');
const app = express();
function auth(req, res, next) {
const user = basicAuth(req);
const validUser = user && user.name === 'your-username' && user.pass === 'your-password';
if (!validUser) {
res.set('WWW-Authenticate', 'Basic realm="example"');
return res.status(401).send('Authentication required.');
}
next();
}
app.use(auth);
app.get('/', (req, res) => {
res.send('Hello, authenticated user!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
curl을 사용하여 기본 인증 테스트:
curl -u your-username:your-password http://localhost:3000/
팁: 자격 증명을 보호하려면 항상 HTTPS를 통한 기본 인증을 사용하세요.
2. JWT(JSON 웹 토큰)
그것은 무엇입니까?
JWT는 사용자를 인증하는 더욱 안전하고 확장 가능한 방법입니다. 모든 요청에 대해 자격 증명을 보내는 대신 서버는 로그인 시 토큰을 생성합니다. 클라이언트는 후속 요청을 위해 Authorization 헤더에 이 토큰을 포함합니다.
구현 방법
먼저 필수 패키지를 설치합니다.
npm install jsonwebtoken express-jwt
JWT 인증을 설정하는 방법의 예는 다음과 같습니다.
const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');
const app = express();
const secret = 'your-secret-key';
// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });
app.use(express.json()); // Parse JSON bodies
// Login route to generate JWT token
app.post('/login', (req, res) => {
const { username, password } = req.body;
if (username === 'user' && password === 'password') {
const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
return res.json({ token });
}
return res.status(401).json({ message: 'Invalid credentials' });
});
// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
res.send('This is a protected route. You are authenticated!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
먼저 로그인하여 토큰을 받으세요.
curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
그런 다음 토큰을 사용하여 보호된 경로에 액세스하세요.
curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
JWT는 토큰에 만료 시간이 있고 각 요청마다 자격 증명을 보낼 필요가 없다는 점에서 훌륭합니다.
3. API Key 인증
그것은 무엇입니까?
API 키 인증은 간단합니다. 각 클라이언트에게 고유한 키를 제공하면 요청에 포함됩니다. 구현하기는 쉽지만 동일한 키가 계속해서 재사용되기 때문에 JWT만큼 안전하거나 유연하지는 않습니다. 결국에는 API 호출 수를 제한하는 데 쉽게 사용할 수 있는 강력한 솔루션이 있으며 많은 웹사이트에서 이를 사용하고 있습니다. 추가적인 보안 조치로 요청을 특정 IP로 제한할 수 있습니다.
구현 방법
이를 위해서는 특별한 패키지가 필요하지 않지만 dotenv를 사용하여 API 키를 관리하는 것이 좋습니다. 먼저 dotenv를 설치하세요:
npm install dotenv
그런 다음 API 키 인증을 사용하여 API를 생성하세요.
require('dotenv').config();
const express = require('express');
const app = express();
const API_KEY = process.env.API_KEY || 'your-api-key';
function checkApiKey(req, res, next) {
const apiKey = req.query.api_key || req.headers['x-api-key'];
if (apiKey === API_KEY) {
next();
} else {
res.status(403).send('Forbidden: Invalid API Key');
}
}
app.use(checkApiKey);
app.get('/', (req, res) => {
res.send('Hello, authenticated user with a valid API key!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
다음을 사용하여 API 키 인증을 테스트할 수 있습니다.
curl http://localhost:3000/?api_key=your-api-key
또는 맞춤 헤더 사용:
curl -H "x-api-key: your-api-key" http://localhost:3000/
인증 방법 요약
-
기본 인증:
- 장점: 설정이 쉽습니다.
- 단점: 요청이 있을 때마다 자격 증명이 전송되므로 HTTPS를 통해 사용해야 합니다.
- 사용 사례: 소수의 사용자를 위한 간단한 API
-
JWT 인증:
- 장점: 안전하고 상태 비저장이며 확장성이 뛰어납니다.
- 단점: 기본 인증보다 복잡합니다.
- 사용 사례: 강력한 보안이 필요한 확장 가능한 API
-
API 키 인증:
- 장점: 간단하고 널리 사용됩니다.
- 단점: API 키는 JWT에 비해 보안 수준이 낮고 관리하기가 더 어렵습니다.
- 사용 사례: 사용자 관리 없이 클라이언트를 인증하려는 간단한 API
결론
빠르고 쉬운 방법을 찾고 있다면 기본 인증이 효과적일 수 있지만 HTTPS를 사용하는 것을 잊지 마세요. 더욱 강력하고 확장 가능한 보안을 원한다면 JWT를 선택하세요. 경량 또는 내부 API의 경우 API Key 인증만으로 충분할 수 있습니다.
어떤 인증 방법을 사용할 예정이거나 다른 솔루션이 있나요? 댓글로 알려주세요!
위 내용은 Node.js API 보안: 인증에 대한 간단한 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
Python vs. JavaScript : 학습 곡선 및 사용 편의성
Apr 16, 2025 am 12:12 AM
Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.
C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지
Apr 14, 2025 am 12:05 AM
C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.
JavaScript 및 웹 : 핵심 기능 및 사용 사례
Apr 18, 2025 am 12:19 AM
웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.
자바 스크립트 행동 : 실제 예제 및 프로젝트
Apr 19, 2025 am 12:13 AM
실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.
JavaScript 엔진 이해 : 구현 세부 사항
Apr 17, 2025 am 12:05 AM
보다 효율적인 코드를 작성하고 성능 병목 현상 및 최적화 전략을 이해하는 데 도움이되기 때문에 JavaScript 엔진이 내부적으로 작동하는 방식을 이해하는 것은 개발자에게 중요합니다. 1) 엔진의 워크 플로에는 구문 분석, 컴파일 및 실행; 2) 실행 프로세스 중에 엔진은 인라인 캐시 및 숨겨진 클래스와 같은 동적 최적화를 수행합니다. 3) 모범 사례에는 글로벌 변수를 피하고 루프 최적화, Const 및 Lets 사용 및 과도한 폐쇄 사용을 피하는 것이 포함됩니다.
Python vs. JavaScript : 커뮤니티, 라이브러리 및 리소스
Apr 15, 2025 am 12:16 AM
Python과 JavaScript는 커뮤니티, 라이브러리 및 리소스 측면에서 고유 한 장점과 단점이 있습니다. 1) Python 커뮤니티는 친절하고 초보자에게 적합하지만 프론트 엔드 개발 리소스는 JavaScript만큼 풍부하지 않습니다. 2) Python은 데이터 과학 및 기계 학습 라이브러리에서 강력하며 JavaScript는 프론트 엔드 개발 라이브러리 및 프레임 워크에서 더 좋습니다. 3) 둘 다 풍부한 학습 리소스를 가지고 있지만 Python은 공식 문서로 시작하는 데 적합하지만 JavaScript는 MDNWebDocs에서 더 좋습니다. 선택은 프로젝트 요구와 개인적인 이익을 기반으로해야합니다.
Python vs. JavaScript : 개발 환경 및 도구
Apr 26, 2025 am 12:09 AM
개발 환경에서 Python과 JavaScript의 선택이 모두 중요합니다. 1) Python의 개발 환경에는 Pycharm, Jupyternotebook 및 Anaconda가 포함되어 있으며 데이터 과학 및 빠른 프로토 타이핑에 적합합니다. 2) JavaScript의 개발 환경에는 Node.js, VScode 및 Webpack이 포함되어 있으며 프론트 엔드 및 백엔드 개발에 적합합니다. 프로젝트 요구에 따라 올바른 도구를 선택하면 개발 효율성과 프로젝트 성공률이 향상 될 수 있습니다.
JavaScript 통역사 및 컴파일러에서 C/C의 역할
Apr 20, 2025 am 12:01 AM
C와 C는 주로 통역사와 JIT 컴파일러를 구현하는 데 사용되는 JavaScript 엔진에서 중요한 역할을합니다. 1) C는 JavaScript 소스 코드를 구문 분석하고 추상 구문 트리를 생성하는 데 사용됩니다. 2) C는 바이트 코드 생성 및 실행을 담당합니다. 3) C는 JIT 컴파일러를 구현하고 런타임에 핫스팟 코드를 최적화하고 컴파일하며 JavaScript의 실행 효율을 크게 향상시킵니다.
