验证、认证和授权
内容概述
本文扩展了之前的教程,涵盖了使用 Express.js 创建基本 CRUD API,重点关注关键的安全方面:验证、身份验证和授权。 我们将以前面的示例为基础,因此建议熟悉该材料。 完整的项目可在 GitHub 上获取(下面提供的链接)。
关键概念
-
验证:确保用户提供的数据符合预定义的规则和标准。 这对于安全至关重要,可以防止 SQL 注入等漏洞。 一些资源强调了稳健验证的重要性(下面提供的链接)。
-
身份验证:验证用户的身份。这通常涉及根据存储的记录检查凭据(例如用户名/电子邮件和密码)。
-
授权:确定允许用户执行哪些操作。 这根据用户角色和权限控制对资源的访问。
实施验证
我们将为 name、amount 和 date 字段创建验证函数:
-
name: 字符串,非空,10-255 个字符。 -
amount: 数字或数字字符串,正数,非空。 -
date: 字符串,可选(如果省略,则默认为当前日期),YYYY-MM-DD 格式。
这些函数(位于validations.js)利用类型检查和基本格式验证。 可以添加更全面的验证(例如日期范围检查)。
// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };添加身份验证和授权
为了进行演示,我们将使用内存数据存储(对象数组)来存储用户和费用。 这不适合生产。
data.js 文件存储用户和费用数据:
// data.js (excerpt)
let users = [
{ id: "...", email: "...", password: "..." }, //Example User
// ...more users
];
let expenditures = [
{ id: "...", userId: "...", name: "...", amount: ..., date: "..." }, //Example Expense
// ...more expenses
];
module.exports = { expenditures, users };注册端点 (/users/signup)
此端点创建新用户。 它验证电子邮件和密码,检查电子邮件重复项,生成 UUID,并(仅适用于本演示)存储原始密码。 返回 Base64 编码的身份验证令牌 (email:UUID)。 为了简单起见,省略了密码哈希,但它在生产环境中至关重要。
登录端点 (/users/login)
此端点对现有用户进行身份验证。 它会验证凭据并在成功时返回 Base64 编码的身份验证令牌。
受保护端点
为了保护端点(例如,/expenditures),我们需要在请求标头(Authorization 标头)中使用身份验证令牌。令牌被解码,用户被验证,并且只返回用户自己的数据。
// validations.js (excerpt)
const isString = (arg) => typeof arg === "string";
const isNumber = (arg) => !isNaN(Number(arg));
function isValidName(name) { /* ... */ }
function isValidAmount(amount) { /* ... */ }
function isValidDate(date) { /* ... */ }
module.exports = { isValidName, isValidAmount, isValidDate };结论
本文提供了 Node.js/Express.js API 中验证、身份验证和授权的基本介绍。 请记住,此处演示的安全措施是出于教育目的而简化的,并且不应在生产系统中使用。 生产就绪的应用程序需要强大的密码哈希、安全令牌管理(推荐 JWT)和数据库集成。
资源
- 源代码
- 使用 Express 的基本 CRUD API
- 为什么表单验证很重要
- 输入验证:客户端还是服务器端?
- 后端数据验证
- 数据验证最佳实践
- 捍卫D
- JavaScript 基础知识
- OWASP 输入验证备忘单
(请记住将括号中的占位符替换为实际链接。)
以上是验证、认证和授权的详细内容。更多信息请关注PHP中文网其他相关文章!
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
记事本++7.3.1
好用且免费的代码编辑器
SublimeText3汉化版
中文版,非常好用
禅工作室 13.0.1
功能强大的PHP集成开发环境
Dreamweaver CS6
视觉化网页开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
JavaScript引擎:比较实施
Apr 13, 2025 am 12:05 AM
不同JavaScript引擎在解析和执行JavaScript代码时,效果会有所不同,因为每个引擎的实现原理和优化策略各有差异。1.词法分析:将源码转换为词法单元。2.语法分析:生成抽象语法树。3.优化和编译:通过JIT编译器生成机器码。4.执行:运行机器码。V8引擎通过即时编译和隐藏类优化,SpiderMonkey使用类型推断系统,导致在相同代码上的性能表现不同。
Python vs. JavaScript:学习曲线和易用性
Apr 16, 2025 am 12:12 AM
Python更适合初学者,学习曲线平缓,语法简洁;JavaScript适合前端开发,学习曲线较陡,语法灵活。1.Python语法直观,适用于数据科学和后端开发。2.JavaScript灵活,广泛用于前端和服务器端编程。
从C/C到JavaScript:所有工作方式
Apr 14, 2025 am 12:05 AM
从C/C 转向JavaScript需要适应动态类型、垃圾回收和异步编程等特点。1)C/C 是静态类型语言,需手动管理内存,而JavaScript是动态类型,垃圾回收自动处理。2)C/C 需编译成机器码,JavaScript则为解释型语言。3)JavaScript引入闭包、原型链和Promise等概念,增强了灵活性和异步编程能力。
JavaScript和Web:核心功能和用例
Apr 18, 2025 am 12:19 AM
JavaScript在Web开发中的主要用途包括客户端交互、表单验证和异步通信。1)通过DOM操作实现动态内容更新和用户交互;2)在用户提交数据前进行客户端验证,提高用户体验;3)通过AJAX技术实现与服务器的无刷新通信。
JavaScript在行动中:现实世界中的示例和项目
Apr 19, 2025 am 12:13 AM
JavaScript在现实世界中的应用包括前端和后端开发。1)通过构建TODO列表应用展示前端应用,涉及DOM操作和事件处理。2)通过Node.js和Express构建RESTfulAPI展示后端应用。
了解JavaScript引擎:实施详细信息
Apr 17, 2025 am 12:05 AM
理解JavaScript引擎内部工作原理对开发者重要,因为它能帮助编写更高效的代码并理解性能瓶颈和优化策略。1)引擎的工作流程包括解析、编译和执行三个阶段;2)执行过程中,引擎会进行动态优化,如内联缓存和隐藏类;3)最佳实践包括避免全局变量、优化循环、使用const和let,以及避免过度使用闭包。
Python vs. JavaScript:社区,图书馆和资源
Apr 15, 2025 am 12:16 AM
Python和JavaScript在社区、库和资源方面的对比各有优劣。1)Python社区友好,适合初学者,但前端开发资源不如JavaScript丰富。2)Python在数据科学和机器学习库方面强大,JavaScript则在前端开发库和框架上更胜一筹。3)两者的学习资源都丰富,但Python适合从官方文档开始,JavaScript则以MDNWebDocs为佳。选择应基于项目需求和个人兴趣。
Python vs. JavaScript:开发环境和工具
Apr 26, 2025 am 12:09 AM
Python和JavaScript在开发环境上的选择都很重要。1)Python的开发环境包括PyCharm、JupyterNotebook和Anaconda,适合数据科学和快速原型开发。2)JavaScript的开发环境包括Node.js、VSCode和Webpack,适用于前端和后端开发。根据项目需求选择合适的工具可以提高开发效率和项目成功率。
