검증, 인증 및 승인

콘텐츠 개요

이 기사는 Express.js를 사용한 기본 CRUD API 생성을 다루는 이전 튜토리얼을 확장하여 유효성 검사, 인증 및 권한 부여와 같은 중요한 보안 측면에 중점을 둡니다. 이전 예제를 기반으로 작성하므로 해당 자료에 대해 잘 알고 있는 것이 좋습니다. 전체 프로젝트는 GitHub(아래 링크 제공)에서 확인할 수 있습니다.

주요 개념

• 검증: 사용자가 제공한 데이터가 사전 정의된 규칙 및 표준을 준수하는지 확인합니다. 이는 SQL 주입과 같은 취약점을 방지하는 보안에 가장 중요합니다. 여러 리소스에서는 강력한 검증의 중요성을 강조합니다(아래 링크 제공).

• 인증: 사용자의 신원을 확인합니다. 여기에는 일반적으로 저장된 기록과 비교하여 자격 증명(예: 사용자 이름/이메일 및 비밀번호)을 확인하는 작업이 포함됩니다.

• 승인: 사용자가 수행할 수 있는 작업을 결정합니다. 이는 사용자 역할 및 권한에 따라 리소스에 대한 액세스를 제어합니다.

검증 구현

name, amount 및 date 필드에 대한 유효성 검사 함수를 만듭니다.

• name: 문자열, 비어 있지 않음, 10-255자
• amount: 숫자 또는 숫자 문자열, 양수, 비어 있지 않음
• date: 문자열, 선택 사항(생략할 경우 기본값은 현재 날짜), YYYY-MM-DD 형식.

이러한 기능(validations.js에 있음)은 유형 확인 및 기본 형식 확인을 활용합니다. 보다 포괄적인 확인(예: 날짜 범위 확인)이 추가될 수 있습니다.

<code class="language-javascript">// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));

function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }

module.exports = { isValidName, isValidAmount, isValidDate };</code>

인증 및 승인 추가

시연을 위해 사용자 및 비용에 대해 메모리 내 데이터 저장소(객체 배열)를 사용하겠습니다. 이는 제작에 적합하지 않습니다

data.js 파일은 사용자 및 비용 데이터를 저장합니다.

<code class="language-javascript">// data.js (excerpt)
let users = [
    { id: "...", email: "...", password: "..." }, //Example User
    // ...more users
];

let expenditures = [
    { id: "...", userId: "...", name: "...", amount: ..., date: "..." }, //Example Expense
    // ...more expenses
];

module.exports = { expenditures, users };</code>

가입 엔드포인트(/users/signup)

이 엔드포인트는 새로운 사용자를 생성합니다. 이메일과 비밀번호의 유효성을 검사하고, 이메일 중복을 확인하고, UUID를 생성하고, (이 데모에만 해당) 원시 비밀번호를 저장합니다. base64로 인코딩된 인증 토큰(이메일:UUID)이 반환됩니다. 비밀번호 해싱은 단순화를 위해 생략되었지만 프로덕션 환경에서는 매우 중요합니다.

로그인 엔드포인트(/users/login)

이 엔드포인트는 기존 사용자를 인증합니다. 자격 증명을 검증하고 성공하면 base64로 인코딩된 인증 토큰을 반환합니다.

보호된 엔드포인트

엔드포인트(예: /expenditures)를 보호하려면 요청 헤더(Authorization 헤더)에 인증 토큰이 필요합니다. 토큰이 디코딩되고 사용자가 확인되며 사용자 자신의 데이터만 반환됩니다.

<code class="language-javascript">// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));

function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }

module.exports = { isValidName, isValidAmount, isValidDate };</code>

결론

이 문서에서는 Node.js/Express.js API의 유효성 검사, 인증 및 권한 부여에 대한 기본 소개를 제공했습니다. 여기에 설명된 보안 조치는 교육 목적으로 단순화되었으며 프로덕션 시스템에서 사용해서는 안 됩니다. 프로덕션에 즉시 사용 가능한 애플리케이션에는 강력한 비밀번호 해싱, 보안 토큰 관리(JWT 권장) 및 데이터베이스 통합이 필요합니다.

리소스

• 소스코드
• Express를 사용한 기본 CRUD API
• 양식 유효성 검사가 중요한 이유
• 입력 유효성 검사: 클라이언트 측 또는 서버 측?
• 백엔드의 데이터 검증
• 데이터 검증 모범 사례
• D를 지키기 위해
• 자바스크립트 필수
• OWASP 입력 유효성 검사 요약본

(괄호 안의 자리 표시자를 실제 링크로 바꾸는 것을 잊지 마세요.)

위 내용은 검증, 인증 및 승인의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!