Node.js API 보안: 인증에 대한 간단한 가이드
Node.js API를 구축했고 이를 보호하고 싶어서 선택할 수 있는 몇 가지 옵션을 확인했습니다. 그래서 세 가지 일반적인 인증 방법인 기본 인증, JWT(JSON 웹 토큰), API 키에 대해 안내해 드리겠습니다.
1. 기본 인증
그것은 무엇입니까?
기본 인증은 매우 간단합니다. 클라이언트는 Authorization 헤더에 각 요청과 함께 사용자 이름과 비밀번호를 보냅니다. 구현하기는 쉽지만 자격 증명이 base64로만 인코딩되므로(암호화되지 않음) HTTPS를 사용하지 않는 한 가장 안전하지는 않습니다.
구현 방법
Express를 사용하여 API에 기본 인증을 추가하려면 다음이 필요합니다.
- 기본 인증 패키지를 설치합니다.
npm install basic-auth
- 인증 미들웨어 추가:
const express = require('express');
const basicAuth = require('basic-auth');
const app = express();
function auth(req, res, next) {
const user = basicAuth(req);
const validUser = user && user.name === 'your-username' && user.pass === 'your-password';
if (!validUser) {
res.set('WWW-Authenticate', 'Basic realm="example"');
return res.status(401).send('Authentication required.');
}
next();
}
app.use(auth);
app.get('/', (req, res) => {
res.send('Hello, authenticated user!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
curl을 사용하여 기본 인증 테스트:
curl -u your-username:your-password http://localhost:3000/
팁: 자격 증명을 보호하려면 항상 HTTPS를 통한 기본 인증을 사용하세요.
2. JWT(JSON 웹 토큰)
그것은 무엇입니까?
JWT는 사용자를 인증하는 더욱 안전하고 확장 가능한 방법입니다. 모든 요청에 대해 자격 증명을 보내는 대신 서버는 로그인 시 토큰을 생성합니다. 클라이언트는 후속 요청을 위해 Authorization 헤더에 이 토큰을 포함합니다.
구현 방법
먼저 필수 패키지를 설치합니다.
npm install jsonwebtoken express-jwt
JWT 인증을 설정하는 방법의 예는 다음과 같습니다.
const express = require('express');
const jwt = require('jsonwebtoken');
const expressJwt = require('express-jwt');
const app = express();
const secret = 'your-secret-key';
// Middleware to protect routes
const jwtMiddleware = expressJwt({ secret, algorithms: ['HS256'] });
app.use(express.json()); // Parse JSON bodies
// Login route to generate JWT token
app.post('/login', (req, res) => {
const { username, password } = req.body;
if (username === 'user' && password === 'password') {
const token = jwt.sign({ username }, secret, { expiresIn: '1h' });
return res.json({ token });
}
return res.status(401).json({ message: 'Invalid credentials' });
});
// Protected route
app.get('/protected', jwtMiddleware, (req, res) => {
res.send('This is a protected route. You are authenticated!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
먼저 로그인하여 토큰을 받으세요.
curl -X POST http://localhost:3000/login -d '{"username":"user","password":"password"}' -H "Content-Type: application/json"
그런 다음 토큰을 사용하여 보호된 경로에 액세스하세요.
curl -H "Authorization: Bearer <your-token>" http://localhost:3000/protected
JWT는 토큰에 만료 시간이 있고 각 요청마다 자격 증명을 보낼 필요가 없다는 점에서 훌륭합니다.
3. API Key 인증
그것은 무엇입니까?
API 키 인증은 간단합니다. 각 클라이언트에게 고유한 키를 제공하면 요청에 포함됩니다. 구현하기는 쉽지만 동일한 키가 계속해서 재사용되기 때문에 JWT만큼 안전하거나 유연하지는 않습니다. 결국에는 API 호출 수를 제한하는 데 쉽게 사용할 수 있는 강력한 솔루션이 있으며 많은 웹사이트에서 이를 사용하고 있습니다. 추가적인 보안 조치로 요청을 특정 IP로 제한할 수 있습니다.
구현 방법
이를 위해서는 특별한 패키지가 필요하지 않지만 dotenv를 사용하여 API 키를 관리하는 것이 좋습니다. 먼저 dotenv를 설치하세요:
npm install dotenv
그런 다음 API 키 인증을 사용하여 API를 생성하세요.
require('dotenv').config();
const express = require('express');
const app = express();
const API_KEY = process.env.API_KEY || 'your-api-key';
function checkApiKey(req, res, next) {
const apiKey = req.query.api_key || req.headers['x-api-key'];
if (apiKey === API_KEY) {
next();
} else {
res.status(403).send('Forbidden: Invalid API Key');
}
}
app.use(checkApiKey);
app.get('/', (req, res) => {
res.send('Hello, authenticated user with a valid API key!');
});
const PORT = process.env.PORT || 3000;
app.listen(PORT, () => {
console.log(`Server is running on port ${PORT}`);
});
테스트하기
다음을 사용하여 API 키 인증을 테스트할 수 있습니다.
curl http://localhost:3000/?api_key=your-api-key
또는 맞춤 헤더 사용:
curl -H "x-api-key: your-api-key" http://localhost:3000/
인증 방법 요약
-
기본 인증:
- 장점: 설정이 쉽습니다.
- 단점: 요청이 있을 때마다 자격 증명이 전송되므로 HTTPS를 통해 사용해야 합니다.
- 사용 사례: 소수의 사용자를 위한 간단한 API
-
JWT 인증:
- 장점: 안전하고 상태 비저장이며 확장성이 뛰어납니다.
- 단점: 기본 인증보다 복잡합니다.
- 사용 사례: 강력한 보안이 필요한 확장 가능한 API
-
API 키 인증:
- 장점: 간단하고 널리 사용됩니다.
- 단점: API 키는 JWT에 비해 보안 수준이 낮고 관리하기가 더 어렵습니다.
- 사용 사례: 사용자 관리 없이 클라이언트를 인증하려는 간단한 API
결론
빠르고 쉬운 방법을 찾고 있다면 기본 인증이 효과적일 수 있지만 HTTPS를 사용하는 것을 잊지 마세요. 더욱 강력하고 확장 가능한 보안을 원한다면 JWT를 선택하세요. 경량 또는 내부 API의 경우 API Key 인증만으로 충분할 수 있습니다.
어떤 인증 방법을 사용할 예정이거나 다른 솔루션이 있나요? 댓글로 알려주세요!
위 내용은 Node.js API 보안: 인증에 대한 간단한 가이드의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
Demystifying JavaScript : 그것이하는 일과 중요한 이유
Apr 09, 2025 am 12:07 AM
JavaScript는 현대 웹 개발의 초석이며 주요 기능에는 이벤트 중심 프로그래밍, 동적 컨텐츠 생성 및 비동기 프로그래밍이 포함됩니다. 1) 이벤트 중심 프로그래밍을 사용하면 사용자 작업에 따라 웹 페이지가 동적으로 변경 될 수 있습니다. 2) 동적 컨텐츠 생성을 사용하면 조건에 따라 페이지 컨텐츠를 조정할 수 있습니다. 3) 비동기 프로그래밍은 사용자 인터페이스가 차단되지 않도록합니다. JavaScript는 웹 상호 작용, 단일 페이지 응용 프로그램 및 서버 측 개발에 널리 사용되며 사용자 경험 및 크로스 플랫폼 개발의 유연성을 크게 향상시킵니다.
JavaScript의 진화 : 현재 동향과 미래 전망
Apr 10, 2025 am 09:33 AM
JavaScript의 최신 트렌드에는 Typescript의 Rise, 현대 프레임 워크 및 라이브러리의 인기 및 WebAssembly의 적용이 포함됩니다. 향후 전망은보다 강력한 유형 시스템, 서버 측 JavaScript 개발, 인공 지능 및 기계 학습의 확장, IoT 및 Edge 컴퓨팅의 잠재력을 포함합니다.
JavaScript 엔진 : 구현 비교
Apr 13, 2025 am 12:05 AM
각각의 엔진의 구현 원리 및 최적화 전략이 다르기 때문에 JavaScript 엔진은 JavaScript 코드를 구문 분석하고 실행할 때 다른 영향을 미칩니다. 1. 어휘 분석 : 소스 코드를 어휘 단위로 변환합니다. 2. 문법 분석 : 추상 구문 트리를 생성합니다. 3. 최적화 및 컴파일 : JIT 컴파일러를 통해 기계 코드를 생성합니다. 4. 실행 : 기계 코드를 실행하십시오. V8 엔진은 즉각적인 컴파일 및 숨겨진 클래스를 통해 최적화하여 Spidermonkey는 유형 추론 시스템을 사용하여 동일한 코드에서 성능이 다른 성능을 제공합니다.
JavaScript : 웹 언어의 다양성 탐색
Apr 11, 2025 am 12:01 AM
JavaScript는 현대 웹 개발의 핵심 언어이며 다양성과 유연성에 널리 사용됩니다. 1) 프론트 엔드 개발 : DOM 운영 및 최신 프레임 워크 (예 : React, Vue.js, Angular)를 통해 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축합니다. 2) 서버 측 개발 : Node.js는 비 차단 I/O 모델을 사용하여 높은 동시성 및 실시간 응용 프로그램을 처리합니다. 3) 모바일 및 데스크탑 애플리케이션 개발 : 크로스 플랫폼 개발은 개발 효율을 향상시키기 위해 반응 및 전자를 통해 실현됩니다.
Python vs. JavaScript : 학습 곡선 및 사용 편의성
Apr 16, 2025 am 12:12 AM
Python은 부드러운 학습 곡선과 간결한 구문으로 초보자에게 더 적합합니다. JavaScript는 가파른 학습 곡선과 유연한 구문으로 프론트 엔드 개발에 적합합니다. 1. Python Syntax는 직관적이며 데이터 과학 및 백엔드 개발에 적합합니다. 2. JavaScript는 유연하며 프론트 엔드 및 서버 측 프로그래밍에서 널리 사용됩니다.
Next.js (Frontend Integration)를 사용하여 멀티 테넌트 SaaS 응용 프로그램을 구축하는 방법
Apr 11, 2025 am 08:22 AM
이 기사에서는 Contrim에 의해 확보 된 백엔드와의 프론트 엔드 통합을 보여 주며 Next.js를 사용하여 기능적인 Edtech SaaS 응용 프로그램을 구축합니다. Frontend는 UI 가시성을 제어하기 위해 사용자 권한을 가져오고 API가 역할 기반을 준수하도록합니다.
C/C에서 JavaScript까지 : 모든 것이 어떻게 작동하는지
Apr 14, 2025 am 12:05 AM
C/C에서 JavaScript로 전환하려면 동적 타이핑, 쓰레기 수집 및 비동기 프로그래밍으로 적응해야합니다. 1) C/C는 수동 메모리 관리가 필요한 정적으로 입력 한 언어이며 JavaScript는 동적으로 입력하고 쓰레기 수집이 자동으로 처리됩니다. 2) C/C를 기계 코드로 컴파일 해야하는 반면 JavaScript는 해석 된 언어입니다. 3) JavaScript는 폐쇄, 프로토 타입 체인 및 약속과 같은 개념을 소개하여 유연성과 비동기 프로그래밍 기능을 향상시킵니다.
Next.js (백엔드 통합)로 멀티 테넌트 SAAS 애플리케이션 구축
Apr 11, 2025 am 08:23 AM
일상적인 기술 도구를 사용하여 기능적 다중 테넌트 SaaS 응용 프로그램 (Edtech 앱)을 구축했으며 동일한 작업을 수행 할 수 있습니다. 먼저, 다중 테넌트 SaaS 응용 프로그램은 무엇입니까? 멀티 테넌트 SAAS 응용 프로그램은 노래에서 여러 고객에게 서비스를 제공 할 수 있습니다.
