Panduan untuk Melindungi Aplikasi Node.js Anda-tutorial js-php.cn

Panduan untuk Melindungi Aplikasi Node.js Anda

Barbara Streisand

Lepaskan： 2024-11-02 14:12:30

asal

889 orang telah melayarinya

A Guide for Securing Your Node.js Application

Pada masa kini, keselamatan aplikasi adalah penting. Mengamankan aplikasi Node.js melibatkan pelbagai amalan untuk melindungi daripada pelanggaran data, akses tanpa kebenaran dan kelemahan lain. Artikel ini meneroka langkah keselamatan utama untuk melindungi aplikasi Node.js anda, meliputi HTTPS, CORS, penyulitan data dan banyak lagi. Kami juga akan menyelami contoh praktikal untuk menunjukkan kepada anda cara teknik ini boleh dilaksanakan dengan berkesan.

Mengapa Keselamatan Penting dalam Aplikasi Web
Menggunakan HTTPS dalam Aplikasi Node.js
Memahami CORS (Perkongsian Sumber Silang Asal)
Penyulitan Data dalam Node.js
Melindungi Data Sensitif dengan Pembolehubah Persekitaran
Pengesahan dan Keizinan dengan JWT
Melaksanakan Pengehadan Kadar untuk Mencegah Serangan DDoS
Kes Penggunaan Dunia Sebenar: Menggunakan Amalan Terbaik Keselamatan dalam Node.js

Mengapa Keselamatan Penting dalam Aplikasi Web

Keselamatan adalah penting dalam aplikasi web untuk melindungi:

Data pengguna: Melindungi maklumat sensitif seperti bukti kelayakan log masuk dan data peribadi.
Integriti sistem: Menghalang akses tanpa kebenaran, pelanggaran data dan serangan suntikan.
Pematuhan: Memenuhi piawaian industri seperti GDPR, HIPAA dan PCI-DSS.

Menggunakan HTTPS dalam Aplikasi Node.js

HTTPS (HyperText Transfer Protocol Secure) memastikan data yang dihantar antara pelayan dan pelanggan disulitkan. Begini cara untuk menyediakan HTTPS dalam aplikasi Node.js.

Langkah 1: Jana Sijil SSL

Anda boleh menggunakan alatan seperti OpenSSL untuk menjana sijil SSL:

openssl req -nodes -new -x509 -keyout server.key -out server.cert

Salin selepas log masuk

Langkah 2: Dayakan HTTPS dalam Node.js

Gunakan modul https dalam Node.js:

const https = require('https');
const fs = require('fs');
const express = require('express');

const app = express();
const options = {
    key: fs.readFileSync('server.key'),
    cert: fs.readFileSync('server.cert')
};

https.createServer(options, app).listen(3000, () => {
    console.log("HTTPS Server running on port 3000");
});

Salin selepas log masuk

Memahami CORS (Perkongsian Sumber Silang Asal)

CORS mengehadkan halaman web daripada membuat permintaan kepada domain selain daripada yang menyediakan halaman web. Ini membantu mencegah serangan Pemalsuan Permintaan Merentas Tapak (CSRF).

Melaksanakan CORS dalam Ekspres

Anda boleh menggunakan pakej cors untuk menyediakan polisi CORS:

const cors = require('cors');
app.use(cors({ origin: 'https://trusted-domain.com' }));

Salin selepas log masuk

Penyulitan Data dalam Node.js

Menyulitkan data sensitif sebelum menyimpan atau menghantarnya menambahkan lapisan keselamatan tambahan. Crypto ialah modul Node.js terbina dalam yang menyediakan kaedah penyulitan.

Menyulitkan dan Menyahsulit Data

openssl req -nodes -new -x509 -keyout server.key -out server.cert

Salin selepas log masuk

Menjaga Data Sensitif dengan Pembolehubah Persekitaran

Menyimpan maklumat sensitif seperti kunci API dan bukti kelayakan pangkalan data dalam kod anda adalah berisiko. Sebaliknya, gunakan pembolehubah persekitaran dan perpustakaan seperti dotenv.

Contoh:

Pasang dotenv:

const https = require('https');
const fs = require('fs');
const express = require('express');

const app = express();
const options = {
    key: fs.readFileSync('server.key'),
    cert: fs.readFileSync('server.cert')
};

https.createServer(options, app).listen(3000, () => {
    console.log("HTTPS Server running on port 3000");
});

Salin selepas log masuk

Tambahkan data sensitif pada .env:

const cors = require('cors');
app.use(cors({ origin: 'https://trusted-domain.com' }));

Salin selepas log masuk

Akses pembolehubah dalam kod:

const crypto = require('crypto');
const algorithm = 'aes-256-cbc';
const key = crypto.randomBytes(32);
const iv = crypto.randomBytes(16);

function encrypt(text) {
    let cipher = crypto.createCipheriv(algorithm, Buffer.from(key), iv);
    let encrypted = cipher.update(text);
    encrypted = Buffer.concat([encrypted, cipher.final()]);
    return { iv: iv.toString('hex'), encryptedData: encrypted.toString('hex') };
}

function decrypt(text) {
    let iv = Buffer.from(text.iv, 'hex');
    let encryptedText = Buffer.from(text.encryptedData, 'hex');
    let decipher = crypto.createDecipheriv(algorithm, Buffer.from(key), iv);
    let decrypted = decipher.update(encryptedText);
    decrypted = Buffer.concat([decrypted, decipher.final()]);
    return decrypted.toString();
}

// Example usage
const encrypted = encrypt("Sensitive data");
console.log("Encrypted:", encrypted);
console.log("Decrypted:", decrypt(encrypted));

Salin selepas log masuk

Pengesahan dan Keizinan dengan JWT

JWT (JSON Web Token) ialah cara yang padat dan selamat untuk menghantar maklumat antara pihak. Ia biasanya digunakan untuk pengesahan tanpa kewarganegaraan dalam API.

Menyediakan Pengesahan JWT

Pasang jsonwebtoken:

   npm install dotenv

Salin selepas log masuk

Mencipta dan mengesahkan JWT:

   DB_USER=username
   DB_PASS=password

Salin selepas log masuk

Melaksanakan Pengehadan Kadar untuk Mencegah Serangan DDoS

Penghadan kadar mengehadkan bilangan permintaan yang boleh dibuat oleh pengguna dalam jangka masa, mengurangkan serangan DDoS.

Menggunakan Pengehad Kadar Ekspres

   require('dotenv').config();
   const dbUser = process.env.DB_USER;
   const dbPass = process.env.DB_PASS;

Salin selepas log masuk

Kes Penggunaan Dunia Sebenar: Menggunakan Amalan Terbaik Keselamatan dalam Node.js

Pertimbangkan aplikasi perbankan dalam talian yang keselamatan adalah paling utama. Begini cara untuk melaksanakan amalan yang telah kita bincangkan:

HTTPS: Sulitkan semua komunikasi pelanggan-pelayan untuk melindungi data sensitif.
CORS: Hadkan permintaan daripada domain yang dipercayai untuk mengurangkan CSRF.
Penyulitan: Sulitkan maklumat sensitif seperti data peribadi.
Pembolehubah Persekitaran: Simpan semua bukti kelayakan dan maklumat sensitif dengan selamat.
Pengesahan JWT: Keluarkan token JWT untuk pengesahan yang selamat dan tanpa kewarganegaraan.
Penghadan Kadar: Lindungi titik akhir daripada serangan DDoS dengan mengehadkan permintaan.

Dengan melaksanakan amalan terbaik ini, anda boleh memastikan aplikasi anda kekal selamat daripada ancaman biasa.

Kesimpulan

Melindungi aplikasi Node.js ialah proses yang berterusan. Teknik yang diliputi—menggunakan HTTPS, menyediakan CORS, menyulitkan data, menggunakan pembolehubah persekitaran, melaksanakan pengesahan JWT dan menambah pengehadan kadar—adalah penting untuk melindungi apl anda daripada akses tanpa kebenaran dan pelanggaran data. Dengan menggabungkan kaedah ini, anda mencipta asas keselamatan yang teguh untuk aplikasi Node.js anda.

Atas ialah kandungan terperinci Panduan untuk Melindungi Aplikasi Node.js Anda. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!