驗證、認證和授權
內容概述
本文擴展了先前的教程,涵蓋了使用 Express.js 創建基本 CRUD API,重點關注關鍵的安全方面:驗證、身份驗證和授權。 我們將以前面的範例為基礎,因此建議熟悉該資料。 完整的專案可在 GitHub 上取得(下面提供的連結)。
關鍵概念
-
驗證:確保使用者提供的資料符合預先定義的規則和標準。 這對於安全性至關重要,可以防止 SQL 注入等漏洞。 一些資源強調了穩健驗證的重要性(下面提供的連結)。
-
驗證:驗證使用者的身分。這通常涉及根據儲存的記錄檢查憑證(例如使用者名稱/電子郵件和密碼)。
-
授權:決定允許使用者執行哪些操作。 這根據使用者角色和權限控制對資源的存取。
實作驗證
我們將為 name、amount 和 date 欄位建立驗證函數:
-
name: 字串,非空,10-255 個字元。 -
amount: 數字或數字字串,正數,非空。 -
date: 字串,可選(如果省略,則預設為當前日期),YYYY-MM-DD 格式。
這些函數(位於validations.js)利用型別檢查和基本格式驗證。 可以新增更全面的驗證(例如日期範圍檢查)。
// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };新增驗證與授權
為了進行演示,我們將使用記憶體資料儲存(物件數組)來儲存使用者和費用。 這不適合生產。
data.js 檔案儲存使用者和費用資料:
// data.js (excerpt)
let users = [
{ id: "...", email: "...", password: "..." }, //Example User
// ...more users
];
let expenditures = [
{ id: "...", userId: "...", name: "...", amount: ..., date: "..." }, //Example Expense
// ...more expenses
];
module.exports = { expenditures, users };註冊端點 (/users/signup)
此端點建立新使用者。 它驗證電子郵件和密碼,檢查電子郵件重複項,產生 UUID,並(僅適用於本演示)儲存原始密碼。 傳回 Base64 編碼的身份驗證令牌 (email:UUID)。 為了簡單起見,省略了密碼哈希,但它在生產環境中至關重要。
登入端點 (/users/login)
此端點對現有使用者進行身份驗證。 它會驗證憑證並在成功時傳回 Base64 編碼的身份驗證令牌。
受保護端點
為了保護端點(例如,/expenditures),我們需要在請求標頭(Authorization 標頭)中使用身份驗證令牌。令牌被解碼,使用者被驗證,並且只返回使用者自己的資料。
// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };結論
本文提供了 Node.js/Express.js API 中驗證、驗證和授權的基本介紹。 請記住,此處示範的安全措施是出於教育目的而簡化的,並且不應在生產系統中使用。 生產就緒的應用程式需要強大的密碼雜湊、安全令牌管理(建議 JWT)和資料庫整合。
資源
- 原始碼
- 使用 Express 的基本 CRUD API
- 為什麼表單驗證很重要
- 輸入驗證:客戶端還是伺服器端?
- 後端資料驗證
- 資料驗證最佳實務
- 捍衛D
- JavaScript 基礎
- OWASP 輸入驗證備忘錄
(請記得將括號中的佔位符替換為實際連結。)
以上是驗證、認證和授權的詳細內容。更多資訊請關注PHP中文網其他相關文章!
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Python vs. JavaScript:學習曲線和易用性
Apr 16, 2025 am 12:12 AM
Python更適合初學者,學習曲線平緩,語法簡潔;JavaScript適合前端開發,學習曲線較陡,語法靈活。 1.Python語法直觀,適用於數據科學和後端開發。 2.JavaScript靈活,廣泛用於前端和服務器端編程。
從C/C到JavaScript:所有工作方式
Apr 14, 2025 am 12:05 AM
從C/C 轉向JavaScript需要適應動態類型、垃圾回收和異步編程等特點。 1)C/C 是靜態類型語言,需手動管理內存,而JavaScript是動態類型,垃圾回收自動處理。 2)C/C 需編譯成機器碼,JavaScript則為解釋型語言。 3)JavaScript引入閉包、原型鍊和Promise等概念,增強了靈活性和異步編程能力。
JavaScript和Web:核心功能和用例
Apr 18, 2025 am 12:19 AM
JavaScript在Web開發中的主要用途包括客戶端交互、表單驗證和異步通信。 1)通過DOM操作實現動態內容更新和用戶交互;2)在用戶提交數據前進行客戶端驗證,提高用戶體驗;3)通過AJAX技術實現與服務器的無刷新通信。
JavaScript在行動中:現實世界中的示例和項目
Apr 19, 2025 am 12:13 AM
JavaScript在現實世界中的應用包括前端和後端開發。 1)通過構建TODO列表應用展示前端應用,涉及DOM操作和事件處理。 2)通過Node.js和Express構建RESTfulAPI展示後端應用。
了解JavaScript引擎:實施詳細信息
Apr 17, 2025 am 12:05 AM
理解JavaScript引擎內部工作原理對開發者重要,因為它能幫助編寫更高效的代碼並理解性能瓶頸和優化策略。 1)引擎的工作流程包括解析、編譯和執行三個階段;2)執行過程中,引擎會進行動態優化,如內聯緩存和隱藏類;3)最佳實踐包括避免全局變量、優化循環、使用const和let,以及避免過度使用閉包。
Python vs. JavaScript:社區,圖書館和資源
Apr 15, 2025 am 12:16 AM
Python和JavaScript在社區、庫和資源方面的對比各有優劣。 1)Python社區友好,適合初學者,但前端開發資源不如JavaScript豐富。 2)Python在數據科學和機器學習庫方面強大,JavaScript則在前端開發庫和框架上更勝一籌。 3)兩者的學習資源都豐富,但Python適合從官方文檔開始,JavaScript則以MDNWebDocs為佳。選擇應基於項目需求和個人興趣。
Python vs. JavaScript:開發環境和工具
Apr 26, 2025 am 12:09 AM
Python和JavaScript在開發環境上的選擇都很重要。 1)Python的開發環境包括PyCharm、JupyterNotebook和Anaconda,適合數據科學和快速原型開發。 2)JavaScript的開發環境包括Node.js、VSCode和Webpack,適用於前端和後端開發。根據項目需求選擇合適的工具可以提高開發效率和項目成功率。
C/C在JavaScript口譯員和編譯器中的作用
Apr 20, 2025 am 12:01 AM
C和C 在JavaScript引擎中扮演了至关重要的角色,主要用于实现解释器和JIT编译器。1)C 用于解析JavaScript源码并生成抽象语法树。2)C 负责生成和执行字节码。3)C 实现JIT编译器,在运行时优化和编译热点代码,显著提高JavaScript的执行效率。
