지역 사회
배우다
도구 라이브러리
AI 도구
여가
찾다
한국어
웹 프론트엔드 JS 튜토리얼 Node.js API 보안: 인증에 대한 간단한 가이드

Node.js API 보안: 인증에 대한 간단한 가이드

DDD
DDD
Sep 19, 2024 am 12:29 AM

Securing a Node.js API: A Simple Guide to Authentication

Node.js API를 구축했고 이를 보호하고 싶어서 선택할 수 있는 몇 가지 옵션을 확인했습니다. 그래서 세 가지 일반적인 인증 방법인 기본 인증, JWT(JSON 웹 토큰), API 키에 대해 안내해 드리겠습니다.

1. 기본 인증

그것은 무엇입니까?

기본 인증은 매우 간단합니다. 클라이언트는 Authorization 헤더에 각 요청과 함께 사용자 이름과 비밀번호를 보냅니다. 구현하기는 쉽지만 자격 증명이 base64로만 인코딩되므로(암호화되지 않음) HTTPS를 사용하지 않는 한 가장 안전하지는 않습니다.

구현 방법

Express를 사용하여 API에 기본 인증을 추가하려면 다음이 필요합니다.

  1. 기본 인증 패키지를 설치합니다. 
   npm install basic-auth
로그인 후 복사
  1. 인증 미들웨어 추가: 
   const express = require('express');
   const basicAuth = require('basic-auth');

   const app = express();

   function auth(req, res, next) {
     const user = basicAuth(req);
     const validUser = user && user.name === 'your-username' && user.pass === 'your-password';

     if (!validUser) {
       res.set('WWW-Authenticate', 'Basic realm="example"');
       return res.status(401).send('Authentication required.');
     }
     next();
   }

   app.use(auth);

   app.get('/', (req, res) => {
     res.send('Hello, authenticated user!');
   });

   const PORT = process.env.PORT || 3000;
   app.listen(PORT, () => {
     console.log(`Server is running on port ${PORT}`);
   });
로그인 후 복사

테스트하기

curl을 사용하여 기본 인증 테스트:

curl -u your-username:your-password http://localhost:3000/
로그인 후 복사

팁: 자격 증명을 보호하려면 항상 HTTPS를 통한 기본 인증을 사용하세요.

2. JWT(JSON 웹 토큰)

그것은 무엇입니까?

JWT는 사용자를 인증하는 더욱 안전하고 확장 가능한 방법입니다. 모든 요청에 ​​대해 자격 증명을 보내는 대신 서버는 로그인 시 토큰을 생성합니다. 클라이언트는 후속 요청을 위해 Authorization 헤더에 이 토큰을 포함합니다.

구현 방법

먼저 필수 패키지를 설치합니다.

npm install jsonwebtoken express-jwt
로그인 후 복사

JWT 인증을 설정하는 방법의 예는 다음과 같습니다.

const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');

const app = express();
const secret = 'your-secret-key';

// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });

app.use(express.json()); // Parse JSON bodies

// Login route to generate JWT token
app.post('/login', (req, res) => {
  const { username, password } = req.body;

  if (username === 'user' && password === 'password') {
    const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
    return res.json({ token });
  }

  return res.status(401).json({ message: 'Invalid credentials' });
});

// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
  res.send('This is a protected route. You are authenticated!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
로그인 후 복사

테스트하기

먼저 로그인하여 토큰을 받으세요.

curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
로그인 후 복사

그런 다음 토큰을 사용하여 보호된 경로에 액세스하세요.

curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
로그인 후 복사

JWT는 토큰에 만료 시간이 있고 각 요청마다 자격 증명을 보낼 필요가 없다는 점에서 훌륭합니다.

3. API Key 인증

그것은 무엇입니까?

API 키 인증은 간단합니다. 각 클라이언트에게 고유한 키를 제공하면 요청에 포함됩니다. 구현하기는 쉽지만 동일한 키가 계속해서 재사용되기 때문에 JWT만큼 안전하거나 유연하지는 않습니다. 결국에는 API 호출 수를 제한하는 데 쉽게 사용할 수 있는 강력한 솔루션이 있으며 많은 웹사이트에서 이를 사용하고 있습니다. 추가적인 보안 조치로 요청을 특정 IP로 제한할 수 있습니다.

구현 방법

이를 위해서는 특별한 패키지가 필요하지 않지만 dotenv를 사용하여 API 키를 관리하는 것이 좋습니다. 먼저 dotenv를 설치하세요:

npm install dotenv
로그인 후 복사

그런 다음 API 키 인증을 사용하여 API를 생성하세요.

require('dotenv').config();
const express = require('express');
const app = express();

const API_KEY = process.env.API_KEY || 'your-api-key';

function checkApiKey(req, res, next) {
  const apiKey = req.query.api_key || req.headers['x-api-key'];

  if (apiKey === API_KEY) {
    next();
  } else {
    res.status(403).send('Forbidden: Invalid API Key');
  }
}

app.use(checkApiKey);

app.get('/', (req, res) => {
  res.send('Hello, authenticated user with a valid API key!');
});

const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
  console.log(`Server is running on port ${PORT}`);
});
로그인 후 복사

테스트하기

다음을 사용하여 API 키 인증을 테스트할 수 있습니다.

curl http://localhost:3000/?api_key=your-api-key
로그인 후 복사

또는 맞춤 헤더 사용:

curl -H "x-api-key: your-api-key" http://localhost:3000/
로그인 후 복사

인증 방법 요약

  • 기본 인증:

    • 장점: 설정이 쉽습니다.
    • 단점: 요청이 있을 때마다 자격 증명이 전송되므로 HTTPS를 통해 사용해야 합니다.
    • 사용 사례: 소수의 사용자를 위한 간단한 API

  • JWT 인증:

    • 장점: 안전하고 상태 비저장이며 확장성이 뛰어납니다.
    • 단점: 기본 인증보다 복잡합니다.
    • 사용 사례: 강력한 보안이 필요한 확장 가능한 API

  • API 키 인증:

    • 장점: 간단하고 널리 사용됩니다.
    • 단점: API 키는 JWT에 비해 보안 수준이 낮고 관리하기가 더 어렵습니다.
    • 사용 사례: 사용자 관리 없이 클라이언트를 인증하려는 간단한 API

결론

빠르고 쉬운 방법을 찾고 있다면 기본 인증이 효과적일 수 있지만 HTTPS를 사용하는 것을 잊지 마세요. 더욱 강력하고 확장 가능한 보안을 원한다면 JWT를 선택하세요. 경량 또는 내부 API의 경우 API Key 인증만으로 충분할 수 있습니다.

어떤 인증 방법을 사용할 예정이거나 다른 솔루션이 있나요? 댓글로 알려주세요!

위 내용은 Node.js API 보안: 인증에 대한 간단한 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.

핫 AI 도구

Undresser.AI Undress

Undresser.AI Undress

사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover

AI Clothes Remover

사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool

Undress AI Tool

무료로 이미지를 벗다

Clothoff.io

Clothoff.io

AI 옷 제거제

AI Hentai Generator

AI Hentai Generator

AI Hentai를 무료로 생성하십시오.

더보기

인기 기사

R.E.P.O. 에너지 결정과 그들이하는 일 (노란색 크리스탈)
1 몇 달 전 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O. 최고의 그래픽 설정
1 몇 달 전 By 尊渡假赌尊渡假赌尊渡假赌
어 ass 신 크리드 그림자 : 조개 수수께끼 솔루션
3 몇 주 전 By DDD
Windows 11 KB5054979의 새로운 기능 및 업데이트 문제를 해결하는 방법
2 몇 주 전 By DDD
Will R.E.P.O. 크로스 플레이가 있습니까?
1 몇 달 전 By 尊渡假赌尊渡假赌尊渡假赌
더보기

뜨거운 도구

메모장++7.3.1

메모장++7.3.1

사용하기 쉬운 무료 코드 편집기

SublimeText3 중국어 버전

SublimeText3 중국어 버전

중국어 버전, 사용하기 매우 쉽습니다.

스튜디오 13.0.1 보내기

스튜디오 13.0.1 보내기

강력한 PHP 통합 개발 환경

드림위버 CS6

드림위버 CS6

시각적 웹 개발 도구

SublimeText3 Mac 버전

SublimeText3 Mac 버전

신 수준의 코드 편집 소프트웨어(SublimeText3)

더보기

뜨거운 주제

Gmail 이메일의 로그인 입구는 어디에 있나요?
7549
15
Cakephp 튜토리얼
1382
52
Steam의 계정 이름 형식은 무엇입니까?
83
11
Win11 활성화 키 영구
57
19
NYT 연결 힌트와 답변
22
90
더보기
Related knowledge
내 자신의 JavaScript 라이브러리를 어떻게 작성하고 게시합니까? 내 자신의 JavaScript 라이브러리를 어떻게 작성하고 게시합니까? Mar 18, 2025 pm 03:12 PM

기사는 JavaScript 라이브러리 작성, 게시 및 유지 관리, 계획, 개발, 테스트, 문서 및 홍보 전략에 중점을 둡니다.

브라우저에서 성능을 위해 JavaScript 코드를 최적화하려면 어떻게해야합니까? 브라우저에서 성능을 위해 JavaScript 코드를 최적화하려면 어떻게해야합니까? Mar 18, 2025 pm 03:14 PM

이 기사는 브라우저에서 JavaScript 성능을 최적화하기위한 전략에 대해 설명하고 실행 시간을 줄이고 페이지로드 속도에 미치는 영향을 최소화하는 데 중점을 둡니다.

프론트 엔드 열 용지 영수증에 대한 차량 코드 인쇄를 만나면 어떻게해야합니까? 프론트 엔드 열 용지 영수증에 대한 차량 코드 인쇄를 만나면 어떻게해야합니까? Apr 04, 2025 pm 02:42 PM

프론트 엔드 개발시 프론트 엔드 열지대 티켓 인쇄를위한 자주 묻는 질문과 솔루션, 티켓 인쇄는 일반적인 요구 사항입니다. 그러나 많은 개발자들이 구현하고 있습니다 ...

브라우저 개발자 도구를 사용하여 JavaScript 코드를 효과적으로 디버그하려면 어떻게해야합니까? 브라우저 개발자 도구를 사용하여 JavaScript 코드를 효과적으로 디버그하려면 어떻게해야합니까? Mar 18, 2025 pm 03:16 PM

이 기사는 브라우저 개발자 도구를 사용하여 효과적인 JavaScript 디버깅, 중단 점 설정, 콘솔 사용 및 성능 분석에 중점을 둡니다.

누가 더 많은 파이썬이나 자바 스크립트를 지불합니까? 누가 더 많은 파이썬이나 자바 스크립트를 지불합니까? Apr 04, 2025 am 12:09 AM

기술 및 산업 요구에 따라 Python 및 JavaScript 개발자에 대한 절대 급여는 없습니다. 1. 파이썬은 데이터 과학 및 기계 학습에서 더 많은 비용을 지불 할 수 있습니다. 2. JavaScript는 프론트 엔드 및 풀 스택 개발에 큰 수요가 있으며 급여도 상당합니다. 3. 영향 요인에는 경험, 지리적 위치, 회사 규모 및 특정 기술이 포함됩니다.

소스 맵을 사용하여 조정 된 JavaScript 코드를 디버그하는 방법은 무엇입니까? 소스 맵을 사용하여 조정 된 JavaScript 코드를 디버그하는 방법은 무엇입니까? Mar 18, 2025 pm 03:17 PM

이 기사는 소스 맵을 사용하여 원래 코드에 다시 매핑하여 미니어링 된 JavaScript를 디버그하는 방법을 설명합니다. 소스 맵 활성화, 브레이크 포인트 설정 및 Chrome Devtools 및 Webpack과 같은 도구 사용에 대해 설명합니다.

JavaScript를 사용하여 동일한 ID와 동일한 ID로 배열 요소를 하나의 객체로 병합하는 방법은 무엇입니까? JavaScript를 사용하여 동일한 ID와 동일한 ID로 배열 요소를 하나의 객체로 병합하는 방법은 무엇입니까? Apr 04, 2025 pm 05:09 PM

동일한 ID로 배열 요소를 JavaScript의 하나의 객체로 병합하는 방법은 무엇입니까? 데이터를 처리 할 때 종종 동일한 ID를 가질 필요가 있습니다 ...

Console.log 출력 결과의 차이 : 두 통화가 다른 이유는 무엇입니까? Console.log 출력 결과의 차이 : 두 통화가 다른 이유는 무엇입니까? Apr 04, 2025 pm 05:12 PM

Console.log 출력의 차이의 근본 원인에 대한 심층적 인 논의. 이 기사에서는 Console.log 함수의 출력 결과의 차이점을 코드에서 분석하고 그에 따른 이유를 설명합니다. � ...

See all articles