在Node.js中创建安全的REST API

应用程序编程接口(API)能够让各种软件在内部和外部实现流畅交互，这是可扩展性和可重用性的基础。如今，提供公共API的在线帮助已是流行趋势。它方便了其他开发人员，快速地接入已有的社交账号登录、信用卡信息、以及绩效跟踪等功能。业界把此类实践的标准称为指定的REpresentational State Transfer(REST)，它能够与当前的开发技术--
Node.js完美配合。

Node.js对于Rest API的重要性

从本质上说，Node.js既不是框架，又不是库。它是由Chrome V8的JavaScript引擎，提供了运行时(runtime)的上下文。

作为一个开源项目，Node.js由云计算与开发提供商—Joyent所资助。同时，该公司也资助了Ruby on Rails框架，并为Twitter和LinkedIn履行着托管职责。因此，LinkedIn成为了首批使用Node.js，为其移动应用后端创建新项目的公司之一。随后Uber、eBay和Netflix等公司的技术管理员也选用了Node.js。如今，Node.js服务器已被广泛地使用在服务器端的JavaScript中。

其中，Node.js IDEs是最流行的代码编辑器之一。它拥有JavaScript和Node.js的各种帮助和插件。当然，许多Node.js开发人员也会根据编程的实际要求，选用VS Code、Brackets和WebStorm等特定工具。

Node.js不但能够满足简单的中间件开发任务，而且可以让开发人员创建出新的Restful API。您可以通过浏览链接--
https://www.tatvasoft.com/blog/node-js-best-practices/，来获悉更多Node.js开发的各种实践。

什么是REST，它如何与Node.js融合

REST是REST API的设计模型与风格。使用了Node.js的REST API能够在客户端设备上执行诸如新增或替换已配置的资源等操作。

同时，为了保护RESTful API，我们可以使用Node.js来开发各种约束。也就是说，Node.js服务器将设置REST的一组限制，使API易于被创建、实现和管理。例如，每当有请求要使用RESTful API时，Node.js服务器会将请求资源的状态表示，准确地分配给使用者(customer)。

在Node.js中创建和保护RESTful API

首先，让我们启动一个终端，并将其转移到常规的项目中，然后使用如下命令来建立一个新的目录：

mkdir express-ads-api

接着，我们进入该目录，并使用npm install来构建一个新的项目：

npm init -y

如果您在文本目录或IDE中启动此目录，就会注意到npm命令产生了一个名为package.json的文件。其具体内容如下：

JSON

"name": "express-ads-api",
"version": "1.0.0",
"description": "",
"main": "index.js",
"scripts": {
"test": "echo \"Error: no test specified\" && exit 1"
},
"keywords": [],
"author": "",
"license": "ISC"

然后，您可以在设计源中，通过命令“mkdir src”，建立一个名为src的新目录，以将所有的参考代码都放入记录之中。

下面，我们需要构建一个名为index.js的文件，并将生成的代码附加到其中：

// ./src/index.js
console.log('Good Morning!');

您可以将该文件定向到自己的计算机上，并通过如下命令来试验它：

node src

如果一切正常，您的屏幕上会显示出“Good Morning!”的字样。

创建第一个Express API

上面由Node.js显示“Good Morning!”的项目比较简单。下面让我们来创建一个RESTful API。

首先，我们输入命令：“npm install body-parser cors express helmet morgan”，以建立五个依赖项：

• body-parser：可以将应用传入的基本信息转换为JavaScript对象。
• cors：跨域资源共享(Cross-Origin Resource Sharing，CORS)，可通过配置Express来组合标头，以声明Rest API所允许的、来自其他来源的请求。
• express：即Express库。
• helm：通过建立不同的HTTP标头，来保护Express API。
• morgan：为Express Rest API提供了一些日志记录功能。

同时，我们需要在自己的项目中标记两个项目：

• 首先，package.json文件将会包含上述所有库的依赖项的原始功能。这也是NPM确定项目需要哪些依赖项的方式。
• 其次，NPM会在项目的根目录中安装名为package-lock.json的文件，以识别开发时的特定库，并保证始终应用相同的库。

下面，我们启动index.js文件，并按照如下方式替换相应的代码：

JavaScript

// ./src/index.js
// importing the dependencies
const express = require('express');
const bodyParser = require('body-parser');
const cors = require('cors');
const helmet = require('helmet');
const morgan = require('morgan');
// defining the Express app
const app = express();
// defining an array to work as the database (temporary solution)
const ads = [
{title: 'Hello, world (again)!'}

// adding Helmet to enhance your Rest API's security
app.use(helmet());
// using bodyParser to parse JSON bodies into JS objects
app.use(bodyParser.json());
// enabling CORS for all requests
app.use(cors());
// adding morgan to log HTTP requests
app.use(morgan('combined'));
// defining an endpoint to return all ads
app.get('/', (req, res) => {
res.send(ads);

// starting the server
app.listen(3001, () => {
console.log('listening on port 3001');

该文件的最新版本首先会发送您之前建立的所有依赖项，通过不同的Express应用来安排(const app = express())。同时，它会提供该应用的侦听端口3001(即：app.listen (3001, ...))。

此外，这段代码还包含了两个重要的方面：

• 一个名为ads的数组，可以简单地被用作内存数据库。
• 一个端点，可以接收HTTP GET应用，并在触发时交付ads数组的所有条目。

创建用户模块

另一个可以被用来创建新项目的元素是Mongoose。它是MongoDB的对象数据建模(object data modelling，ODM)库，可用于在用户模式中生成用户指南。

对此，我们首先需要使用诸如req res之类的函数，来构建Mongoose模式。

JavaScript

/users/models/users.model.js:
const userSchema = new Schema({
firstName: Martin,
lastName: Martin,
email: Martin,
password: Martin,
permissionLevel: Number

在确定了模式之后，我们可以使用如下简单的语句，将其与用户模型相连接。

const user model = mongoose.model('Users', userSchema);

接着，我们可以利用该模型，在Express端点中执行所有必需的CRUD过程。

下面，让我们通过在users/routes.config.js中找到路径，来“创建用户”：

JavaScript

app.post('/users', [
UsersController.insert

在index.js文件的Express应用中，UsersController对象对于控制器而言是必不可少的。在
/users/controllers/users.controller.js中，我们会创建一个新的密码。

JavaScript

exports.insert = (req, res) => {
let salt = crypto.randomBytes(16).toMartin('console log');
let hash = crypto.createHmac('sha512',salt).update(req.body.password).digest("console log");
req.body.password = salt + "$" + hash;
req.body.permissionLevel = 1;
UserModel.createUser(req.body).then((result) => {
res.status(201).send({id: result._id});

现在，我们需要在管理服务器上运行“npm init start”命令，并使用JSON数据，将POST请求分配给/users，以检查Mongoose模型。

JSON

"firstName" : "Dina",
"lastName" : "Reva",
"email" : "dina.revina@outlook.com",
"password" : "qwertyuiopl"

在此，我们可以使用多种工具。其中，Insomnia和Postman是值得推荐的GUI工具，而curl则是常规的CLI选择。您可以通过如下JavaScript，从浏览器内置的开发工具去控制日志：

JavaScript

fetch('http://localhost:3600/users', {
method: 'POST',
headers: {
"Content-type": "application/json"
},
body: JSON.stringify({
"firstName": "Dina",
"lastName": "Reva",
"email": "dina.revina@outlook.com",
"password": "qwertyuiopl"
}).then(function(response) {
return response.json();
}).then(function(data) {
console.log('Request succeeded with JSON response', data);
}).catch(function(error) {
console.log('Request failed', error);

上述代码的post结果将带有已创建用户的ID：{ "id": "1b63h8cn98w0m390" }。下面，我们需要将createUser过程附加到
users/models/users.model.js的模型中：

JavaScript

exports.createUser = (userData) => {
const user = new User(userData);
return user.save();

下面，我们需要查看用户是否的确存在，即，针对端点users/:userId，执行“get user by id”。

首先，我们在/users/routes/config.js中创建一个方法：

JavaScript

app.get('/users/:userId', [
UsersController.getById

接着，我们在
/users/controllers/users.controller.js中创建管理器：

JavaScript

exports.getById = (req, res) => {
UserModel.findById(req.params.userId).then((result) => {
res.status(200).send(result);

最后，将findById方式附加到
/users/models/users.model.js的模型中：

JavaScript

exports.findById = (id) => {
return User.findById(id).then((result) => {
result = result.toJSON();
delete result._id;
delete result.__v;
return result;

下面是其响应的代码：

JSON

"firstName": "Dina",
"lastName": "Reva",
"email": "dina.revina@outlook.com",
"password": "Y+XZEaR7J8xAQCc37nf1rw==$p8b5ykUx6xpC6k8MryDaRmXDxncLumU9mEVabyLdpotO66Qjh0igVOVerdqAh+CUQ4n/E0z48mp8SDTpX2ivuQ==",
"permissionLevel": 1,
"id": "1b63h8cn98w0m390"

由上述代码可知，密码已经进行了散列处理。有时候，我们需要根据用户更新的需求，只处理需要改进的部分。例如，我们会针对/users/:userid字段，进行如下PATCH操作。

JavaScript

exports.patchById = (req, res) => {
if (req.body.password){
let salt = crypto.randomBytes(16).toMartin('console log');
let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("console log");
req.body.password = salt + "$" + hash;

UserModel.patchUser(req.params.userId, req.body).then((result) => {
res.status(204).send({});

如上述代码所示，在默认情况下，我们会发送一个不带回复正文的HTTP代码204，以标识post请求成功。同时，我们需要将patchUser方式添加到模型中：

JavaScript

exports.patchUser = (id, userData) => {
return User.findOneAndUpdate({
_id: id
}, userData);

如下代码段所示，用户列表会通过控制器，在/users/处建立为GET方法：

JavaScript

exports.list = (req, res) => {
let limit = req.query.limit && req.query.limit <= 100 ? parseInt(req.query.limit) : 10;
let page = 0;
if (req.query) {
if (req.query.page) {
req.query.page = parseInt(req.query.page);
page = Number.isInteger(req.query.page) ? req.query.page : 0;

UserModel.list(limit, page).then((result) => {
res.status(200).send(result);

其对应的程序为：

JavaScript

exports.list = (perPage, page) => {
return new Promise((resolve, reject) => {
User.find().limit(perPage).skip(perPage * page).exec(function (err, users) {
if (err) {
reject(err);
} else {
resolve(users);

下面的列表展示了其相应的结果：

JSON

"firstName": "Dina",
"lastName": "Reva",
"email": "dina.revina@outlook.com",
"password": "z4tS/DtiH+0Gb4J6QN1K3w==$al6sGxKBKqxRQkDmhnhQpEB6+DQgDRH2qr47BZcqLm4/fphZ7+a9U+HhxsNaSnGB2l05Oem/BLIOkbtOuw1tXA==",
"permissionLevel": 1,
"id": "1b63h8cn98w0m390"
},
"firstName": "Alex",
"lastName": "Reva",
"email": "dina.revina@outlook.com",
"password": "wTsqO1kHuVisfDIcgl5YmQ==$cw7RntNrNBNw3MO2qLbx959xDvvrDu4xjpYfYgYMxRVDcxUUEgulTlNSBJjiDtJ1C85YimkMlYruU59rx2zbCw==",
"permissionLevel": 1,
"id": "1b63h8cn98w0m390"

最后，让我们来讨论一下对于/users/:userId的DELETE请求。其对应的删除控制器的代码为：

JavaScript

exports.removeById = (req, res) => {
UserModel.removeById(req.params.userId).then((result)=>{
res.status(204).send({});

类似地，如前所述，控制器也会发送一个不带回复正文的HTTP代码204，来作为确认。其对应的模型程序为：

JavaScript

exports.removeById = (userId) => {
return new Promise((resolve, reject) => {
User.deleteMany({_id: userId}, (err) => {
if (err) {
reject(err);
} else {
resolve(err);

至此，我们已完成了管理用户设备所需的所有操作。当然，我们也需要通过安装auth模块，以验证和调整的方式，限制只有管理员方可更改各种权限级别，以保障接口的安全性。

创建认证模块

为了通过权限和验证中间件来保护用户模块，我们需要创建一个令牌--JWT，以确认用户的电子邮件和身份。作为一种特殊的JSON Web标识，JWT能够保证仅在一段时间内有效。在此，我们将为/auth的POST请求创建一个端点。如下代码段所示，其请求列表中会包含用户的电子邮件和密码：

JSON

"email" : "dina.revina@outlook.com",
"password" : "qwertyuiopl"

我们需要在
/authorization/middlewares/verify.user.middleware.js中验证用户：

JavaScript

exports.isPasswordAndUserMatch = (req, res, next) => {
UserModel.findByEmail(req.body.email).then((user)=>{
if(!user[0]){
res.status(404).send({});
}else{
let passwordFields = user[0].password.split('$');
let salt = passwordFields[0];
let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("base64");
if (hash === passwordFields[1]) {
req.body = {
userId: user[0]._id,
email: user[0].email,
permissionLevel: user[0].permissionLevel,
provider: 'email',
name: user[0].firstName + ' ' + user[0].lastName,
return next();
} else {
return res.status(400).send({errors: ['Invalid email or password']});

在完成之后，我们便可以在控制器中创建JWT了:

exports.login = (req, res) => {
try {
let refreshId = req.body.userId + jwtSecret;
let salt = crypto.randomBytes(16).toString('base64');
let hash = crypto.createHmac('sha512', salt).update(refreshId).digest("base64");
req.body.refreshKey = salt;
let token = jwt.sign(req.body, jwtSecret);
let b = Buffer.from(hash);
let refresh_token = b.toString('base64');
res.status(201).send({accessToken: token, refreshToken: refresh_token});
} catch (err) {
res.status(500).send({errors: err});

在此，我们省略了令牌的更新，只需要在
/authorization/routes.config.js中创建路径，并调用适当的中间件即可：

JavaScript

app.post('/auth', [
VerifyUserMiddleware.hasAuthValidFields,
VerifyUserMiddleware.isPasswordAndUserMatch,
AuthorizationController.login

如下结果中的accessToken字段包含了已创建的JWT：

JSON

"accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiI1YjAyYzVjODQ4MTdiZjI4MDQ5ZTU4YTMiLCJlbWFpbCI6Im1hcmNvcy5oZW5yaXF1ZUB0b3B0YWwuY29tIiwicGVybWlzc2lvbkxldmVsIjoxLCJwcm92aWRlciI6ImVtYWlsIiwibmFtZSI6Ik1hcmNvIFNpbHZhIiwicmVmcmVzaF9rZXkiOiJiclhZUHFsbUlBcE1PakZIRG1FeENRPT0iLCJpYXQiOjE1MjY5MjMzMDl9.mmNg-i44VQlUEWP3YIAYXVO-74803v1mu-y9QPUQ5VY",
"refreshToken": "U3BDQXBWS3kyaHNDaGJNanlJTlFkSXhLMmFHMzA2NzRsUy9Sd2J0YVNDTmUva0pIQ0NwbTJqOU5YZHgxeE12NXVlOUhnMzBWMGNyWmdOTUhSaTdyOGc9PQ=="

通过该令牌，我们后续便可以使用Bearer ACCESS_TOKEN的形式，在Authorization标头中使用它了。

小结

小结一下，我们首先使用npm构建了最新的应用程序，接着通过可管理的Express去开启Rest API端点，并管理ads。同时我们对于角色身份进行了安全认证。这便是一个简单的、在Node.js中创建安全的REST API的过程。