在Node.js中創(chuàng)建安全的REST API
譯文【51CTO.com快譯】應(yīng)用程序編程接口(API)能夠讓各種軟件在內(nèi)部和外部實現(xiàn)流暢交互,這是可擴展性和可重用性的基礎(chǔ)。如今,提供公共API的在線幫助已是流行趨勢。它方便了其他開發(fā)人員,快速地接入已有的社交賬號登錄、信用卡信息、以及績效跟蹤等功能。業(yè)界把此類實踐的標準稱為指定的REpresentational State Transfer(REST),它能夠與當前的開發(fā)技術(shù)--Node.js完美配合。
Node.js對于Rest API的重要性
從本質(zhì)上說,Node.js既不是框架,又不是庫。它是由Chrome V8的JavaScript引擎,提供了運行時(runtime)的上下文。
作為一個開源項目,Node.js由云計算與開發(fā)提供商—Joyent所資助。同時,該公司也資助了Ruby on Rails框架,并為Twitter和LinkedIn履行著托管職責。因此,LinkedIn成為了首批使用Node.js,為其移動應(yīng)用后端創(chuàng)建新項目的公司之一。隨后Uber、eBay和Netflix等公司的技術(shù)管理員也選用了Node.js。如今,Node.js服務(wù)器已被廣泛地使用在服務(wù)器端的JavaScript中。
其中,Node.js IDEs是最流行的代碼編輯器之一。它擁有JavaScript和Node.js的各種幫助和插件。當然,許多Node.js開發(fā)人員也會根據(jù)編程的實際要求,選用VS Code、Brackets和WebStorm等特定工具。
Node.js不但能夠滿足簡單的中間件開發(fā)任務(wù),而且可以讓開發(fā)人員創(chuàng)建出新的Restful API。您可以通過瀏覽鏈接-- https://www.tatvasoft.com/blog/node-js-best-practices/,來獲悉更多Node.js開發(fā)的各種實踐。
什么是REST,它如何與Node.js融合
REST是REST API的設(shè)計模型與風格。使用了Node.js的REST API能夠在客戶端設(shè)備上執(zhí)行諸如新增或替換已配置的資源等操作。
同時,為了保護RESTful API,我們可以使用Node.js來開發(fā)各種約束。也就是說,Node.js服務(wù)器將設(shè)置REST的一組限制,使API易于被創(chuàng)建、實現(xiàn)和管理。例如,每當有請求要使用RESTful API時,Node.js服務(wù)器會將請求資源的狀態(tài)表示,準確地分配給使用者(customer)。
在Node.js中創(chuàng)建和保護RESTful API
首先,讓我們啟動一個終端,并將其轉(zhuǎn)移到常規(guī)的項目中,然后使用如下命令來建立一個新的目錄:
- mkdir express-ads-api
接著,我們進入該目錄,并使用npm install來構(gòu)建一個新的項目:
- npm init -y
如果您在文本目錄或IDE中啟動此目錄,就會注意到npm命令產(chǎn)生了一個名為package.json的文件。其具體內(nèi)容如下:
JSON
- {
- "name": "express-ads-api",
- "version": "1.0.0",
- "description": "",
- "main": "index.js",
- "scripts": {
- "test": "echo \"Error: no test specified\" && exit 1"
- },
- "keywords": [],
- "author": "",
- "license": "ISC"
- }
然后,您可以在設(shè)計源中,通過命令“mkdir src”,建立一個名為src的新目錄,以將所有的參考代碼都放入記錄之中。
下面,我們需要構(gòu)建一個名為index.js的文件,并將生成的代碼附加到其中:
- // ./src/index.js
- console.log('Good Morning!');
您可以將該文件定向到自己的計算機上,并通過如下命令來試驗它:
- node src
如果一切正常,您的屏幕上會顯示出“Good Morning!”的字樣。
創(chuàng)建第一個Express API
上面由Node.js顯示“Good Morning!”的項目比較簡單。下面讓我們來創(chuàng)建一個RESTful API。
首先,我們輸入命令:“npm install body-parser cors express helmet morgan”,以建立五個依賴項:
- body-parser:可以將應(yīng)用傳入的基本信息轉(zhuǎn)換為JavaScript對象。
- cors:跨域資源共享(Cross-Origin Resource Sharing,CORS),可通過配置Express來組合標頭,以聲明Rest API所允許的、來自其他來源的請求。
- express:即Express庫。
- helm:通過建立不同的HTTP標頭,來保護Express API。
- morgan:為Express Rest API提供了一些日志記錄功能。
同時,我們需要在自己的項目中標記兩個項目:
- 首先,package.json文件將會包含上述所有庫的依賴項的原始功能。這也是NPM確定項目需要哪些依賴項的方式。
- 其次,NPM會在項目的根目錄中安裝名為package-lock.json的文件,以識別開發(fā)時的特定庫,并保證始終應(yīng)用相同的庫。
下面,我們啟動index.js文件,并按照如下方式替換相應(yīng)的代碼:
JavaScript
- // ./src/index.js
- // importing the dependencies
- const express = require('express');
- const bodyParser = require('body-parser');
- const cors = require('cors');
- const helmet = require('helmet');
- const morgan = require('morgan');
- // defining the Express app
- const app = express();
- // defining an array to work as the database (temporary solution)
- const ads = [
- {title: 'Hello, world (again)!'}
- ];
- // adding Helmet to enhance your Rest API's security
- app.use(helmet());
- // using bodyParser to parse JSON bodies into JS objects
- app.use(bodyParser.json());
- // enabling CORS for all requests
- app.use(cors());
- // adding morgan to log HTTP requests
- app.use(morgan('combined'));
- // defining an endpoint to return all ads
- app.get('/', (req, res) => {
- res.send(ads);
- });
- // starting the server
- app.listen(3001, () => {
- console.log('listening on port 3001');
- });
該文件的最新版本首先會發(fā)送您之前建立的所有依賴項,通過不同的Express應(yīng)用來安排(const app = express())。同時,它會提供該應(yīng)用的偵聽端口3001(即:app.listen (3001, ...))。
此外,這段代碼還包含了兩個重要的方面:
- 一個名為ads的數(shù)組,可以簡單地被用作內(nèi)存數(shù)據(jù)庫。
- 一個端點,可以接收HTTP GET應(yīng)用,并在觸發(fā)時交付ads數(shù)組的所有條目。
創(chuàng)建用戶模塊
另一個可以被用來創(chuàng)建新項目的元素是Mongoose。它是MongoDB的對象數(shù)據(jù)建模(object data modelling,ODM)庫,可用于在用戶模式中生成用戶指南。
對此,我們首先需要使用諸如req res之類的函數(shù),來構(gòu)建Mongoose模式。
JavaScript
- /users/models/users.model.js:
- const userSchema = new Schema({
- firstName: Martin,
- lastName: Martin,
- email: Martin,
- password: Martin,
- permissionLevel: Number
- });
在確定了模式之后,我們可以使用如下簡單的語句,將其與用戶模型相連接。
- const user model = mongoose.model('Users', userSchema);
接著,我們可以利用該模型,在Express端點中執(zhí)行所有必需的CRUD過程。
下面,讓我們通過在users/routes.config.js中找到路徑,來“創(chuàng)建用戶”:
JavaScript
- app.post('/users', [
- UsersController.insert
- ]);
在index.js文件的Express應(yīng)用中,UsersController對象對于控制器而言是必不可少的。在/users/controllers/users.controller.js中,我們會創(chuàng)建一個新的密碼。
JavaScript
- exports.insert = (req, res) => {
- let salt = crypto.randomBytes(16).toMartin('console log');
- let hash = crypto.createHmac('sha512',salt).update(req.body.password).digest("console log");
- req.body.password = salt + "$" + hash;
- req.body.permissionLevel = 1;
- UserModel.createUser(req.body).then((result) => {
- res.status(201).send({id: result._id});
- });
- };
現(xiàn)在,我們需要在管理服務(wù)器上運行“npm init start”命令,并使用JSON數(shù)據(jù),將POST請求分配給/users,以檢查Mongoose模型。
JSON
- {
- "firstName" : "Dina",
- "lastName" : "Reva",
- "email" : "dina.revina@outlook.com",
- "password" : "qwertyuiopl"
- }
在此,我們可以使用多種工具。其中,Insomnia和Postman是值得推薦的GUI工具,而curl則是常規(guī)的CLI選擇。您可以通過如下JavaScript,從瀏覽器內(nèi)置的開發(fā)工具去控制日志:
JavaScript
- fetch('http://localhost:3600/users', {
- method: 'POST',
- headers: {
- "Content-type": "application/json"
- },
- body: JSON.stringify({
- "firstName": "Dina",
- "lastName": "Reva",
- "email": "dina.revina@outlook.com",
- "password": "qwertyuiopl"
- })
- }).then(function(response) {
- return response.json();
- }).then(function(data) {
- console.log('Request succeeded with JSON response', data);
- }).catch(function(error) {
- console.log('Request failed', error);
- });
上述代碼的post結(jié)果將帶有已創(chuàng)建用戶的ID:{ "id": "1b63h8cn98w0m390" }。下面,我們需要將createUser過程附加到users/models/users.model.js的模型中:
JavaScript
- exports.createUser = (userData) => {
- const user = new User(userData);
- return user.save();
- };
下面,我們需要查看用戶是否的確存在,即,針對端點users/:userId,執(zhí)行“get user by id”。
首先,我們在/users/routes/config.js中創(chuàng)建一個方法:
JavaScript
- app.get('/users/:userId', [
- UsersController.getById
- ]);
接著,我們在/users/controllers/users.controller.js中創(chuàng)建管理器:
JavaScript
- exports.getById = (req, res) => {
- UserModel.findById(req.params.userId).then((result) => {
- res.status(200).send(result);
- });
- };
最后,將findById方式附加到/users/models/users.model.js的模型中:
JavaScript
- exports.findById = (id) => {
- return User.findById(id).then((result) => {
- result = result.toJSON();
- delete result._id;
- delete result.__v;
- return result;
- });
- };
下面是其響應(yīng)的代碼:
JSON
- {
- "firstName": "Dina",
- "lastName": "Reva",
- "email": "dina.revina@outlook.com",
- "password": "Y+XZEaR7J8xAQCc37nf1rw==$p8b5ykUx6xpC6k8MryDaRmXDxncLumU9mEVabyLdpotO66Qjh0igVOVerdqAh+CUQ4n/E0z48mp8SDTpX2ivuQ==",
- "permissionLevel": 1,
- "id": "1b63h8cn98w0m390"
- }
由上述代碼可知,密碼已經(jīng)進行了散列處理。有時候,我們需要根據(jù)用戶更新的需求,只處理需要改進的部分。例如,我們會針對/users/:userid字段,進行如下PATCH操作。
JavaScript
- exports.patchById = (req, res) => {
- if (req.body.password){
- let salt = crypto.randomBytes(16).toMartin('console log');
- let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("console log");
- req.body.password = salt + "$" + hash;
- }
- UserModel.patchUser(req.params.userId, req.body).then((result) => {
- res.status(204).send({});
- });
- };
如上述代碼所示,在默認情況下,我們會發(fā)送一個不帶回復正文的HTTP代碼204,以標識post請求成功。同時,我們需要將patchUser方式添加到模型中:
JavaScript
- exports.patchUser = (id, userData) => {
- return User.findOneAndUpdate({
- _id: id
- }, userData);
- };
如下代碼段所示,用戶列表會通過控制器,在/users/處建立為GET方法:
JavaScript
- exports.list = (req, res) => {
- let limit = req.query.limit && req.query.limit <= 100 ? parseInt(req.query.limit) : 10;
- let page = 0;
- if (req.query) {
- if (req.query.page) {
- req.query.page = parseInt(req.query.page);
- page = Number.isInteger(req.query.page) ? req.query.page : 0;
- }
- }
- UserModel.list(limit, page).then((result) => {
- res.status(200).send(result);
- })
- };
其對應(yīng)的程序為:
JavaScript
- exports.list = (perPage, page) => {
- return new Promise((resolve, reject) => {
- User.find().limit(perPage).skip(perPage * page).exec(function (err, users) {
- if (err) {
- reject(err);
- } else {
- resolve(users);
- }
- })
- });
- };
下面的列表展示了其相應(yīng)的結(jié)果:
JSON
- [
- {
- "firstName": "Dina",
- "lastName": "Reva",
- "email": "dina.revina@outlook.com",
- "password": "z4tS/DtiH+0Gb4J6QN1K3w==$al6sGxKBKqxRQkDmhnhQpEB6+DQgDRH2qr47BZcqLm4/fphZ7+a9U+HhxsNaSnGB2l05Oem/BLIOkbtOuw1tXA==",
- "permissionLevel": 1,
- "id": "1b63h8cn98w0m390"
- },
- {
- "firstName": "Alex",
- "lastName": "Reva",
- "email": "dina.revina@outlook.com",
- "password": "wTsqO1kHuVisfDIcgl5YmQ==$cw7RntNrNBNw3MO2qLbx959xDvvrDu4xjpYfYgYMxRVDcxUUEgulTlNSBJjiDtJ1C85YimkMlYruU59rx2zbCw==",
- "permissionLevel": 1,
- "id": "1b63h8cn98w0m390"
- }
- ]
最后,讓我們來討論一下對于/users/:userId的DELETE請求。其對應(yīng)的刪除控制器的代碼為:
JavaScript
- exports.removeById = (req, res) => {
- UserModel.removeById(req.params.userId).then((result)=>{
- res.status(204).send({});
- });
- };
類似地,如前所述,控制器也會發(fā)送一個不帶回復正文的HTTP代碼204,來作為確認。其對應(yīng)的模型程序為:
JavaScript
- exports.removeById = (userId) => {
- return new Promise((resolve, reject) => {
- User.deleteMany({_id: userId}, (err) => {
- if (err) {
- reject(err);
- } else {
- resolve(err);
- }
- });
- });
- };
至此,我們已完成了管理用戶設(shè)備所需的所有操作。當然,我們也需要通過安裝auth模塊,以驗證和調(diào)整的方式,限制只有管理員方可更改各種權(quán)限級別,以保障接口的安全性。
創(chuàng)建認證模塊
為了通過權(quán)限和驗證中間件來保護用戶模塊,我們需要創(chuàng)建一個令牌--JWT,以確認用戶的電子郵件和身份。作為一種特殊的JSON Web標識,JWT能夠保證僅在一段時間內(nèi)有效。在此,我們將為/auth的POST請求創(chuàng)建一個端點。如下代碼段所示,其請求列表中會包含用戶的電子郵件和密碼:
JSON
- {
- "email" : "dina.revina@outlook.com",
- "password" : "qwertyuiopl"
- }
我們需要在/authorization/middlewares/verify.user.middleware.js中驗證用戶:
JavaScript
- exports.isPasswordAndUserMatch = (req, res, next) => {
- UserModel.findByEmail(req.body.email).then((user)=>{
- if(!user[0]){
- res.status(404).send({});
- }else{
- let passwordFields = user[0].password.split('$');
- let salt = passwordFields[0];
- let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("base64");
- if (hash === passwordFields[1]) {
- req.body = {
- userId: user[0]._id,
- email: user[0].email,
- permissionLevel: user[0].permissionLevel,
- provider: 'email',
- name: user[0].firstName + ' ' + user[0].lastName,
- };
- return next();
- } else {
- return res.status(400).send({errors: ['Invalid email or password']});
- }
- }});
- };
在完成之后,我們便可以在控制器中創(chuàng)建JWT了:
- exports.login = (req, res) => {
- try {
- let refreshId = req.body.userId + jwtSecret;
- let salt = crypto.randomBytes(16).toString('base64');
- let hash = crypto.createHmac('sha512', salt).update(refreshId).digest("base64");
- req.body.refreshKey = salt;
- let token = jwt.sign(req.body, jwtSecret);
- let b = Buffer.from(hash);
- let refresh_token = b.toString('base64');
- res.status(201).send({accessToken: token, refreshToken: refresh_token});
- } catch (err) {
- res.status(500).send({errors: err});
- }
- };
在此,我們省略了令牌的更新,只需要在/authorization/routes.config.js中創(chuàng)建路徑,并調(diào)用適當?shù)闹虚g件即可:
JavaScript
- app.post('/auth', [
- VerifyUserMiddleware.hasAuthValidFields,
- VerifyUserMiddleware.isPasswordAndUserMatch,
- AuthorizationController.login
- ]);
如下結(jié)果中的accessToken字段包含了已創(chuàng)建的JWT:
JSON
- {
- "accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiI1YjAyYzVjODQ4MTdiZjI4MDQ5ZTU4YTMiLCJlbWFpbCI6Im1hcmNvcy5oZW5yaXF1ZUB0b3B0YWwuY29tIiwicGVybWlzc2lvbkxldmVsIjoxLCJwcm92aWRlciI6ImVtYWlsIiwibmFtZSI6Ik1hcmNvIFNpbHZhIiwicmVmcmVzaF9rZXkiOiJiclhZUHFsbUlBcE1PakZIRG1FeENRPT0iLCJpYXQiOjE1MjY5MjMzMDl9.mmNg-i44VQlUEWP3YIAYXVO-74803v1mu-y9QPUQ5VY",
- "refreshToken": "U3BDQXBWS3kyaHNDaGJNanlJTlFkSXhLMmFHMzA2NzRsUy9Sd2J0YVNDTmUva0pIQ0NwbTJqOU5YZHgxeE12NXVlOUhnMzBWMGNyWmdOTUhSaTdyOGc9PQ=="
- }
通過該令牌,我們后續(xù)便可以使用Bearer ACCESS_TOKEN的形式,在Authorization標頭中使用它了。
小結(jié)
小結(jié)一下,我們首先使用npm構(gòu)建了最新的應(yīng)用程序,接著通過可管理的Express去開啟Rest API端點,并管理ads。同時我們對于角色身份進行了安全認證。這便是一個簡單的、在Node.js中創(chuàng)建安全的REST API的過程。
原文標題:Creating a Secure REST API in Node.js,作者:Michhael Smit
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
