內容概述
本文擴展了先前的教程,涵蓋了使用 Express.js 創建基本 CRUD API,重點關注關鍵的安全方面:驗證、身份驗證和授權。 我們將以前面的範例為基礎,因此建議熟悉該資料。 完整的專案可在 GitHub 上取得(下面提供的連結)。
關鍵概念
驗證:確保使用者提供的資料符合預先定義的規則和標準。 這對於安全性至關重要,可以防止 SQL 注入等漏洞。 一些資源強調了穩健驗證的重要性(下面提供的連結)。
驗證:驗證使用者的身分。這通常涉及根據儲存的記錄檢查憑證(例如使用者名稱/電子郵件和密碼)。
授權:決定允許使用者執行哪些操作。 這根據使用者角色和權限控制對資源的存取。
實作驗證
我們將為 name、amount 和 date 欄位建立驗證函數:
name: 字串,非空,10-255 個字元。 amount: 數字或數字字串,正數,非空。 date: 字串,可選(如果省略,則預設為當前日期),YYYY-MM-DD 格式。 這些函數(位於validations.js)利用型別檢查和基本格式驗證。 可以新增更全面的驗證(例如日期範圍檢查)。
<code class="language-javascript">// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };</code>新增驗證與授權
為了進行演示,我們將使用記憶體資料儲存(物件數組)來儲存使用者和費用。 這不適合生產。
data.js 檔案儲存使用者和費用資料:
<code class="language-javascript">// data.js (excerpt)
let users = [
{ id: "...", email: "...", password: "..." }, //Example User
// ...more users
];
let expenditures = [
{ id: "...", userId: "...", name: "...", amount: ..., date: "..." }, //Example Expense
// ...more expenses
];
module.exports = { expenditures, users };</code>註冊端點 (/users/signup)
此端點建立新使用者。 它驗證電子郵件和密碼,檢查電子郵件重複項,產生 UUID,並(僅適用於本演示)儲存原始密碼。 傳回 Base64 編碼的身份驗證令牌 (email:UUID)。 為了簡單起見,省略了密碼哈希,但它在生產環境中至關重要。
登入端點 (/users/login)
此端點對現有使用者進行身份驗證。 它會驗證憑證並在成功時傳回 Base64 編碼的身份驗證令牌。
受保護端點
為了保護端點(例如,/expenditures),我們需要在請求標頭(Authorization 標頭)中使用身份驗證令牌。令牌被解碼,使用者被驗證,並且只返回使用者自己的資料。
<code class="language-javascript">// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };</code>結論
本文提供了 Node.js/Express.js API 中驗證、驗證和授權的基本介紹。 請記住,此處示範的安全措施是出於教育目的而簡化的,並且不應在生產系統中使用。 生產就緒的應用程式需要強大的密碼雜湊、安全令牌管理(建議 JWT)和資料庫整合。
資源
(請記得將括號中的佔位符替換為實際連結。)
以上是驗證、認證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!
