在Node.js中创建安全的REST API

时间:2022-09-05 20:09:11

在Node.js中创建安全的REST API

应用程序编程接口(API)能够让各种软件在内部和外部实现流畅交互,这是可扩展性和可重用性的基础。如今,提供公共API的在线帮助已是流行趋势。它方便了其他开发人员,快速地接入已有的社交账号登录、信用卡信息、以及绩效跟踪等功能。业界把此类实践的标准称为指定的REpresentational State Transfer(REST),它能够与当前的开发技术--​​Node.js完美配合。

Node.js对于Rest API的重要性

从本质上说,Node.js既不是框架,又不是库。它是由Chrome V8的JavaScript引擎,提供了运行时(runtime)的上下文。

作为一个开源项目,Node.js由云计算与开发提供商—Joyent所资助。同时,该公司也资助了Ruby on Rails框架,并为Twitter和LinkedIn履行着托管职责。因此,LinkedIn成为了首批使用Node.js,为其移动应用后端创建新项目的公司之一。随后Uber、eBay和Netflix等公司的技术管理员也选用了Node.js。如今,Node.js服务器已被广泛地使用在服务器端的JavaScript中。

其中,Node.js IDEs是最流行的代码编辑器之一。它拥有JavaScript和Node.js的各种帮助和插件。当然,许多Node.js开发人员也会根据编程的实际要求,选用VS Code、Brackets和WebStorm等特定工具。

Node.js不但能够满足简单的中间件开发任务,而且可以让开发人员创建出新的Restful API。您可以通过浏览链接-- https://www.tatvasoft.com/blog/node-js-best-practices/,来获悉更多Node.js开发的各种实践。

什么是REST,它如何与Node.js融合

REST是REST API的设计模型与风格。使用了Node.js的REST API能够在客户端设备上执行诸如新增或替换已配置的资源等操作。

同时,为了保护RESTful API,我们可以使用Node.js来开发各种约束。也就是说,Node.js服务器将设置REST的一组限制,使API易于被创建、实现和管理。例如,每当有请求要使用RESTful API时,Node.js服务器会将请求资源的状态表示,准确地分配给使用者(customer)。

在Node.js中创建和保护RESTful API

首先,让我们启动一个终端,并将其转移到常规的项目中,然后使用如下命令来建立一个新的目录:

  1. mkdir express-ads-api 

接着,我们进入该目录,并使用npm install来构建一个新的项目:

  1. npm init -y 

如果您在文本目录或IDE中启动此目录,就会注意到npm命令产生了一个名为package.json的文件。其具体内容如下:

JSON

  1.   "name""express-ads-api"
  2.   "version""1.0.0"
  3.   "description"""
  4.   "main""index.js"
  5.   "scripts": { 
  6.     "test""echo \"Error: no test specified\" && exit 1" 
  7.   }, 
  8.   "keywords": [], 
  9.   "author"""
  10.   "license""ISC" 

然后,您可以在设计源中,通过命令“mkdir src”,建立一个名为src的新目录,以将所有的参考代码都放入记录之中。

下面,我们需要构建一个名为index.js的文件,并将生成的代码附加到其中:

  1. // ./src/index.js  
  2. console.log('Good Morning!');  

您可以将该文件定向到自己的计算机上,并通过如下命令来试验它:

  1. node src 

如果一切正常,您的屏幕上会显示出“Good Morning!”的字样。

创建第一个Express API

上面由Node.js显示“Good Morning!”的项目比较简单。下面让我们来创建一个RESTful API。

首先,我们输入命令:“npm install body-parser cors express helmet morgan”,以建立五个依赖项:

  • body-parser:可以将应用传入的基本信息转换为JavaScript对象。
  • cors:跨域资源共享(Cross-Origin Resource Sharing,CORS),可通过配置Express来组合标头,以声明Rest API所允许的、来自其他来源的请求。
  • express:即Express库。
  • helm:通过建立不同的HTTP标头,来保护Express API。
  • morgan:为Express Rest API提供了一些日志记录功能。

同时,我们需要在自己的项目中标记两个项目:

  • 首先,package.json文件将会包含上述所有库的依赖项的原始功能。这也是NPM确定项目需要哪些依赖项的方式。
  • 其次,NPM会在项目的根目录中安装名为package-lock.json的文件,以识别开发时的特定库,并保证始终应用相同的库。

下面,我们启动index.js文件,并按照如下方式替换相应的代码:

JavaScript

  1. // ./src/index.js 
  2. // importing the dependencies 
  3. const express = require('express'); 
  4. const bodyParser = require('body-parser'); 
  5. const cors = require('cors'); 
  6. const helmet = require('helmet'); 
  7. const morgan = require('morgan'); 
  8.   
  9. // defining the Express app 
  10. const app = express(); 
  11. // defining an array to work as the database (temporary solution) 
  12. const ads = [ 
  13.   {title: 'Hello, world (again)!'
  14. ]; 
  15.   
  16. // adding Helmet to enhance your Rest API's security 
  17. app.use(helmet()); 
  18.   
  19. // using bodyParser to parse JSON bodies into JS objects 
  20. app.use(bodyParser.json()); 
  21.   
  22. // enabling CORS for all requests 
  23. app.use(cors()); 
  24.   
  25. // adding morgan to log HTTP requests 
  26. app.use(morgan('combined')); 
  27.   
  28. // defining an endpoint to return all ads 
  29. app.get('/', (req, res) => { 
  30.   res.send(ads); 
  31. }); 
  32.   
  33. // starting the server 
  34. app.listen(3001, () => { 
  35.   console.log('listening on port 3001'); 
  36. }); 

该文件的最新版本首先会发送您之前建立的所有依赖项,通过不同的Express应用来安排(const app = express())。同时,它会提供该应用的侦听端口3001(即:app.listen (3001, ...))。

此外,这段代码还包含了两个重要的方面:

  • 一个名为ads的数组,可以简单地被用作内存数据库。
  • 一个端点,可以接收HTTP GET应用,并在触发时交付ads数组的所有条目。

创建用户模块

另一个可以被用来创建新项目的元素是Mongoose。它是MongoDB的对象数据建模(object data modelling,ODM)库,可用于在用户模式中生成用户指南。

对此,我们首先需要使用诸如req res之类的函数,来构建Mongoose模式。

JavaScript

  1. /users/models/users.model.js: 
  2. const userSchema = new Schema({ 
  3.     firstName: Martin, 
  4.     lastName: Martin, 
  5.     email: Martin, 
  6.     password: Martin, 
  7.     permissionLevel: Number 
  8. }); 

在确定了模式之后,我们可以使用如下简单的语句,将其与用户模型相连接。

  1. const user model = mongoose.model('Users', userSchema); 

接着,我们可以利用该模型,在Express端点中执行所有必需的CRUD过程。

下面,让我们通过在users/routes.config.js中找到路径,来“创建用户”:

JavaScript

  1. app.post('/users', [ 
  2.     UsersController.insert 
  3. ]); 

在index.js文件的Express应用中,UsersController对象对于控制器而言是必不可少的。在/users/controllers/users.controller.js中,我们会创建一个新的密码。

JavaScript

  1. exports.insert = (req, res) => { 
  2.     let salt = crypto.randomBytes(16).toMartin('console log'); 
  3.     let hash = crypto.createHmac('sha512',salt).update(req.body.password).digest("console log"); 
  4.     req.body.password = salt + "$" + hash; 
  5.     req.body.permissionLevel = 1; 
  6.     UserModel.createUser(req.body).then((result) => { 
  7.     res.status(201).send({id: result._id}); 
  8.     }); 
  9. }; 

现在,我们需要在管理服务器上运行“npm init start”命令,并使用JSON数据,将POST请求分配给/users,以检查Mongoose模型。

JSON

  1.     "firstName" : "Dina"
  2.     "lastName" : "Reva"
  3.     "email" : "dina.revina@outlook.com"
  4.     "password" : "qwertyuiopl" 

在此,我们可以使用多种工具。其中,Insomnia和Postman是值得推荐的GUI工具,而curl则是常规的CLI选择。您可以通过如下JavaScript,从浏览器内置的开发工具去控制日志:

JavaScript

  1. fetch('http://localhost:3600/users', { 
  2. method: 'POST'
  3. headers: { 
  4.     "Content-type""application/json" 
  5. }, 
  6.   
  7. body: JSON.stringify({ 
  8.     "firstName""Dina"
  9.     "lastName""Reva"
  10.     "email""dina.revina@outlook.com"
  11.     "password""qwertyuiopl" 
  12. }) 
  13. }).then(function(response) { 
  14.     return response.json(); 
  15. }).then(function(data) { 
  16.     console.log('Request succeeded with JSON response', data); 
  17. }).catch(function(error) { 
  18.     console.log('Request failed', error); 
  19. }); 

上述代码的post结果将带有已创建用户的ID:{ "id": "1b63h8cn98w0m390" }。下面,我们需要将createUser过程附加到users/models/users.model.js的模型中:

JavaScript

  1. exports.createUser = (userData) => { 
  2.     const user = new User(userData); 
  3.     return user.save(); 
  4. }; 

下面,我们需要查看用户是否的确存在,即,针对端点users/:userId,执行“get user by id”。

首先,我们在/users/routes/config.js中创建一个方法:

JavaScript

  1. app.get('/users/:userId', [ 
  2.     UsersController.getById 
  3. ]); 

接着,我们在/users/controllers/users.controller.js中创建管理器:

JavaScript

  1. exports.getById = (req, res) => { 
  2.     UserModel.findById(req.params.userId).then((result) => { 
  3.     res.status(200).send(result); 
  4.     }); 
  5. }; 

最后,将findById方式附加到/users/models/users.model.js的模型中:

JavaScript

  1. exports.findById = (id) => { 
  2.     return User.findById(id).then((result) => { 
  3.     result = result.toJSON(); 
  4.     delete result._id; 
  5.     delete result.__v; 
  6.     return result; 
  7.     }); 
  8. }; 

下面是其响应的代码:

JSON

  1.     "firstName""Dina"
  2.     "lastName""Reva"
  3.     "email""dina.revina@outlook.com"
  4.     "password""Y+XZEaR7J8xAQCc37nf1rw==$p8b5ykUx6xpC6k8MryDaRmXDxncLumU9mEVabyLdpotO66Qjh0igVOVerdqAh+CUQ4n/E0z48mp8SDTpX2ivuQ=="
  5.     "permissionLevel": 1, 
  6.     "id""1b63h8cn98w0m390" 

由上述代码可知,密码已经进行了散列处理。有时候,我们需要根据用户更新的需求,只处理需要改进的部分。例如,我们会针对/users/:userid字段,进行如下PATCH操作。

JavaScript

  1. exports.patchById = (req, res) => { 
  2.     if (req.body.password){ 
  3.         let salt = crypto.randomBytes(16).toMartin('console log'); 
  4.         let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("console log"); 
  5.         req.body.password = salt + "$" + hash; 
  6.     } 
  7.   
  8.     UserModel.patchUser(req.params.userId, req.body).then((result) => { 
  9.         res.status(204).send({}); 
  10.     }); 
  11. }; 

如上述代码所示,在默认情况下,我们会发送一个不带回复正文的HTTP代码204,以标识post请求成功。同时,我们需要将patchUser方式添加到模型中:

JavaScript

  1. exports.patchUser = (id, userData) => { 
  2.     return User.findOneAndUpdate({ 
  3.         _id: id 
  4.     }, userData); 
  5. }; 

如下代码段所示,用户列表会通过控制器,在/users/处建立为GET方法:

JavaScript

  1. exports.list = (req, res) => { 
  2.     let limit = req.query.limit && req.query.limit <= 100 ? parseInt(req.query.limit) : 10; 
  3.     let page = 0; 
  4.     if (req.query) { 
  5.         if (req.query.page) { 
  6.             req.query.page = parseInt(req.query.page); 
  7.             page = Number.isInteger(req.query.page) ? req.query.page : 0; 
  8.             } 
  9.     } 
  10.   
  11.     UserModel.list(limit, page).then((result) => { 
  12.     res.status(200).send(result); 
  13.     }) 
  14. }; 

其对应的程序为:

JavaScript

  1. exports.list = (perPage, page) => { 
  2.     return new Promise((resolve, reject) => { 
  3.         User.find().limit(perPage).skip(perPage * page).exec(function (err, users) { 
  4.             if (err) { 
  5.                 reject(err); 
  6.             } else { 
  7.             resolve(users); 
  8.             } 
  9.         }) 
  10.     }); 
  11. }; 

下面的列表展示了其相应的结果:

JSON

  1.     "firstName""Dina"
  2.     "lastName""Reva"
  3.     "email""dina.revina@outlook.com"
  4.     "password""z4tS/DtiH+0Gb4J6QN1K3w==$al6sGxKBKqxRQkDmhnhQpEB6+DQgDRH2qr47BZcqLm4/fphZ7+a9U+HhxsNaSnGB2l05Oem/BLIOkbtOuw1tXA=="
  5.     "permissionLevel": 1, 
  6.     "id""1b63h8cn98w0m390" 
  7. }, 
  8.     "firstName""Alex"
  9.     "lastName""Reva"
  10.     "email""dina.revina@outlook.com"
  11.     "password""wTsqO1kHuVisfDIcgl5YmQ==$cw7RntNrNBNw3MO2qLbx959xDvvrDu4xjpYfYgYMxRVDcxUUEgulTlNSBJjiDtJ1C85YimkMlYruU59rx2zbCw=="
  12.     "permissionLevel": 1, 
  13.     "id""1b63h8cn98w0m390" 

最后,让我们来讨论一下对于/users/:userId的DELETE请求。其对应的删除控制器的代码为:

JavaScript

  1. exports.removeById = (req, res) => { 
  2.     UserModel.removeById(req.params.userId).then((result)=>{ 
  3.     res.status(204).send({}); 
  4.     }); 
  5. }; 

类似地,如前所述,控制器也会发送一个不带回复正文的HTTP代码204,来作为确认。其对应的模型程序为:

JavaScript

  1. exports.removeById = (userId) => { 
  2.     return new Promise((resolve, reject) => { 
  3.         User.deleteMany({_id: userId}, (err) => { 
  4.             if (err) { 
  5.                 reject(err); 
  6.             } else { 
  7.                 resolve(err); 
  8.             } 
  9.         }); 
  10.     }); 
  11. }; 

至此,我们已完成了管理用户设备所需的所有操作。当然,我们也需要通过安装auth模块,以验证和调整的方式,限制只有管理员方可更改各种权限级别,以保障接口的安全性。

创建认证模块

为了通过权限和验证中间件来保护用户模块,我们需要创建一个令牌--JWT,以确认用户的电子邮件和身份。作为一种特殊的JSON Web标识,JWT能够保证仅在一段时间内有效。在此,我们将为/auth的POST请求创建一个端点。如下代码段所示,其请求列表中会包含用户的电子邮件和密码:

JSON

  1.     "email" : "dina.revina@outlook.com"
  2.     "password" : "qwertyuiopl" 

我们需要在/authorization/middlewares/verify.user.middleware.js中验证用户:

JavaScript

  1. exports.isPasswordAndUserMatch = (req, res, next) => { 
  2.     UserModel.findByEmail(req.body.email).then((user)=>{ 
  3.         if(!user[0]){ 
  4.             res.status(404).send({}); 
  5.         }else
  6.     let passwordFields = user[0].password.split('$'); 
  7.     let salt = passwordFields[0]; 
  8.     let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("base64"); 
  9.     if (hash === passwordFields[1]) { 
  10.         req.body = { 
  11.             userId: user[0]._id, 
  12.             email: user[0].email, 
  13.             permissionLevel: user[0].permissionLevel, 
  14.             provider: 'email'
  15.             nameuser[0].firstName + ' ' + user[0].lastName, 
  16.         }; 
  17.     return next(); 
  18.     } else { 
  19.         return res.status(400).send({errors: ['Invalid email or password']}); 
  20.         } 
  21.     }}); 
  22. }; 

在完成之后,我们便可以在控制器中创建JWT了:

  1. exports.login = (req, res) => { 
  2.     try { 
  3.         let refreshId = req.body.userId + jwtSecret; 
  4.         let salt = crypto.randomBytes(16).toString('base64'); 
  5.         let hash = crypto.createHmac('sha512', salt).update(refreshId).digest("base64"); 
  6.         req.body.refreshKey = salt; 
  7.         let token = jwt.sign(req.body, jwtSecret); 
  8.         let b = Buffer.from(hash); 
  9.         let refresh_token = b.toString('base64'); 
  10.         res.status(201).send({accessToken: token, refreshToken: refresh_token}); 
  11.     } catch (err) { 
  12.         res.status(500).send({errors: err}); 
  13.     } 
  14. }; 

在此,我们省略了令牌的更新,只需要在/authorization/routes.config.js中创建路径,并调用适当的中间件即可:

JavaScript

  1. app.post('/auth', [ 
  2.     VerifyUserMiddleware.hasAuthValidFields, 
  3.     VerifyUserMiddleware.isPasswordAndUserMatch, 
  4.     AuthorizationController.login 
  5. ]); 

如下结果中的accessToken字段包含了已创建的JWT:

JSON

  1.     "accessToken""eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiI1YjAyYzVjODQ4MTdiZjI4MDQ5ZTU4YTMiLCJlbWFpbCI6Im1hcmNvcy5oZW5yaXF1ZUB0b3B0YWwuY29tIiwicGVybWlzc2lvbkxldmVsIjoxLCJwcm92aWRlciI6ImVtYWlsIiwibmFtZSI6Ik1hcmNvIFNpbHZhIiwicmVmcmVzaF9rZXkiOiJiclhZUHFsbUlBcE1PakZIRG1FeENRPT0iLCJpYXQiOjE1MjY5MjMzMDl9.mmNg-i44VQlUEWP3YIAYXVO-74803v1mu-y9QPUQ5VY"
  2.     "refreshToken""U3BDQXBWS3kyaHNDaGJNanlJTlFkSXhLMmFHMzA2NzRsUy9Sd2J0YVNDTmUva0pIQ0NwbTJqOU5YZHgxeE12NXVlOUhnMzBWMGNyWmdOTUhSaTdyOGc9PQ==" 

通过该令牌,我们后续便可以使用Bearer ACCESS_TOKEN的形式,在Authorization标头中使用它了。

小结

小结一下,我们首先使用npm构建了最新的应用程序,接着通过可管理的Express去开启Rest API端点,并管理ads。同时我们对于角色身份进行了安全认证。这便是一个简单的、在Node.js中创建安全的REST API的过程。

原文标题:Creating a Secure REST API in Node.js,作者:Michhael Smit

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

原文链接:https://developer.51cto.com/art/202108/678611.htm#topx