Node.js 安全指南：掌握认证与授权的艺术

认证与授权的基本概念

• 认证：验证用户身份，确定其是否是他们声称的身份。
• 授权：授予经过身份验证的用户访问资源的权限。

Node.js 中的认证策略

基于令牌的认证

• 令牌（例如 JSON WEB 令牌 (Jwt)）包含有关用户身份和权限的信息。
• 客户端向服务器发送令牌，服务器验证令牌并根据其数据授予访问权限。
• 示例代码：

  const jwt = require("jsonwebtoken");
  const verifyToken = (req, res, next) => {
  const token = req.header("Authorization").replace("Bearer ", "");
  jwt.verify(token, "secret", (err, decoded) => {
    if (err) {
      return res.status(401).json({ message: "Unauthorized" });
    }
    req.user = decoded;
    next();
  });
  };

第三方认证

• 使用第三方服务（例如 Google、Facebook）进行用户认证。
• 用户使用他们的第三方凭据登录，然后将请求委派给应用程序。
• 示例代码：

  const passport = require("passport");
  const GoogleStrategy = require("passport-google-oauth20").Strategy;
  passport.use(new GoogleStrategy({
  clientID: "YOUR_CLIENT_ID",
  clientSecret: "YOUR_CLIENT_SECRET",
  callbackURL: "/auth/google/callback"
  },
  (accessToken, refreshToken, profile, done) => {
    // 根据 Google 个人资料创建或查找用户
    done(null, user);
  }
  ));

授权策略

基于角色的访问控制 (RBAC)

• 将用户分配到具有不同权限的角色。
• 用户仅可访问与他们所分配角色关联的资源。
• 示例代码：

  
  const roles = {
  admin: ["read", "write", "delete"],
  user: ["read"]
  };

const checkPermission = (req, res, next) => { const role = req.user.role; const permission = req.method.toLowerCase(); if (roles[role].includes(permission)) { next(); } else { return res.status(403).json({ message: "Forbidden" }); } };

**细粒度权限控制**

* 授予对特定资源的精确权限。
* 例如，用户可以读取特定文档，但不能删除它。
* 示例代码：
```js
const permissions = {
  "/docs/:id": {
    read: ["user"],
    write: ["admin"]
  }
};

const checkPermission = (req, res, next) => {
  const resource = req.path;
  const permission = req.method.toLowerCase();
  if (permissions[resource] && permissions[resource][permission].includes(req.user.role)) {
    next();
  } else {
    return res.status(403).json({ message: "Forbidden" });
  }
};

最佳实践

• 使用强密码散列算法（例如 bcrypt）。
• 启用双因素认证 (2FA)。
• 定期监视可疑活动。
• 使用输入验证来防止注入攻击。
• 实施会话超时以限制未经授权的访问。

结论

通过遵循这些最佳实践，开发人员可以为他们的 node.js 应用程序实施稳健的认证和授权策略。这将保护应用程序免受未经授权的访问，确保数据安全并增强用户信任。