保护我的Node.js应用程序的REST API？

我可以在REST API上提供一些帮助。我正在编写一个使用Express，MongoDB并在客户端具有Backbone.js的Node.js应用程序。我花了最后两天的时间来尝试解决所有这些问题，但运气并不好。我已经签出了：

• 保护REST API
• 使用OAuth保护我的REST API，同时仍然允许通过第三方OAuth提供程序进行身份验证（使用DotNetOpenAuth）
• http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
• http://tesoriere.com/2011/10/10/node.js-getting-oauth-up-and-working-using-express.js-and-railway.js/

我想使后端和前端尽可能分开，所以我认为使用精心设计的REST API会很好。我的想法是，如果我打算开发一个iPhone应用程序（或类似的东西），它可以使用API​​来访问数据。

但是，我希望这是安全的。用户已登录我的Web应用程序，并且我想确保我的API安全。我阅读了有关OAuth，OAuth 2.0，OpenID，Hmac，哈希等的信息。

...但是我还是很困惑。也许是在深夜，或者我的大脑被炸了，但是我真的可以在这里做些什么。创建安全API的步骤是什么？

任何帮助，任何信息，任何示例，步骤或任何东西都将是不错的。请帮忙！

这是一种不同的思考方式：

让我们暂时假设您没有使用API​​。您的用户登录到该应用程序并提供了一些凭据，然后您向该用户提供了cookie或类似的令牌，用于标识该用户已登录。然后，该用户请求包含受限信息的页面（或创建/修改/删除它），因此您检查此令牌以确保允许用户查看该信息。

现在，在我看来，您唯一要更改的就是信息的传递方式。而不是将信息作为呈现的HTML传递，而是将信息作为JSON返回并在客户端呈现。您对服务器的AJAX请求将携带与以前相同的登录令牌，因此我建议仅检查该令牌，并以相同的方式将信息限制为“恰好允许用户知道”。

您的API现在和登录时一样安全-如果有人知道访问api所需的令牌，那么他们也将登录到该站点，并且无论如何都可以访问所有信息。最好的一点是，如果您已经实现了登录，那么您实际上并不需要做更多的工作。

诸如OAuth之类的系统的重点是通常通过第三方应用程序并以开发人员的身份提供这种“登录”方法。对于iPhone应用程序或类似应用程序来说，这可能是一个很好的解决方案，但这已成为未来。接受不止一种身份验证方法的API没错！

为了提高安全性/复杂性，请按以下顺序进行：

基本HTTP身份验证

许多API库都可以让您构建它（例如Django中的Piston），也可以让您的网络服务器来处理它。Nginx和Apache都可以使用服务器指令通过简单的b64编码密码来保护站点。这不是世界上最安全的东西，但至少是用户名和密码！

如果您使用的是Nginx，则可以在主机配置中添加一个部分，如下所示：

auth_basic "Restricted";
auth_basic_user_file /path/to/htpasswd;

（放在您的location /方块中）

文件：http：//wiki.nginx.org/HttpAuthBasicModule

您需要获取python脚本来生成该密码，然后将输出结果放入文件中：http : //trac.edgewall.org/browser/trunk/contrib/htpasswd.py?format=txt

只要Nginx可以访问文件，文件的位置就无关紧要。

HTTPS

确保服务器到应用程序之间的连接安全，这是最基本的方法，可以防止中间人攻击。

您可以使用Nginx进行此操作，它的文档非常全面：http : //wiki.nginx.org/HttpSslModule

为此自己签名的证书就可以了（而且是免费的！）。

API密钥

这些文件可以是您喜欢的任何格式，但是它们给您带来了撤销访问权限的好处。如果您正在开发连接的两端，可能不是您的理想解决方案。当您有第三方使用API​​（例如Github）时，通常会使用它们。

OAuth

OAuth 2.0就是其中之一。虽然我不知道该规范的基础工作原理，但是它是大多数身份验证（Twitter，Facebook，Google等）的事实上的标准，并且有大量的库和文档可帮助您实现这些规范。话虽如此，它通常用于通过请求第三方服务进行身份验证来对用户进行身份验证。

既然您完成了开发的两端，那么将您的API放在Basic HTTP Auth后面并通过HTTPS提供服务就足够了，尤其是如果您不想浪费时间搞乱OAuth。

到目前为止的答案在解释方面做得很好，但是没有给出任何实际步骤。我浏览了此博客文章，其中详细介绍了如何使用Node + Passport安全地创建和管理令牌。

http://aleksandrov.ws/2013/09/12/restful-api-with-nodejs-plus-mongodb/

对保护任何Web应用程序有效的提示

如果您想保护您的应用程序安全，那么绝对应该从使用HTTPS而不是HTTP开始，这可以确保在您和用户之间创建安全的通道，从而防止嗅探来回发送给用户的数据并有助于保留数据。交换了机密。

您可以使用JWT（JSON Web令牌）来保护RESTful API，与服务器端会话相比，它具有许多好处，主要包括：

1-更具可扩展性，因为您的API服务器将不必为每个用户维护会话（当您有很多会话时，这可能是一个沉重的负担）

2-JWT是自包含的，并且具有定义用户角色的声明，例如，他可以在日期和到期日访问和发布的内容（此日期之后，JWT将无效）

3-更易于处理负载平衡器，并且如果您有多个API服务器，因为您不必共享会话数据，也无需配置服务器将会话路由到同一服务器，那么只要JWT的请求碰到任何服务器，就可以对其进行身份验证和授权

4-减轻数据库负担，不必为每个请求不断存储和检索会话ID和数据

5-如果您使用强键对JWT进行签名，则JWT不会被篡改，因此您可以信任随请求一起发送的JWT中的声明，而不必检查用户会话以及他是否被授权，您只需检查JWT，然后就可以知道该用户可以执行的操作。

Node.js特定的库来实现JWT：

许多库提供了创建和验证JWT的简便方法，例如：在node.js中，最受欢迎的一种是jsonwebtoken，也可以使用同一库或使用express-jwt或koa-jwt来验证JWT （如果您使用的是使用快递/ koa）

由于REST API通常旨在使服务器保持无状态，因此JWT与该概念更加兼容，因为每个请求都是使用自包含（JWT）的授权令牌发送的，而与服务器会话相比，服务器无需跟踪用户会话服务器是有状态的，以便记住用户及其角色，但是，会话也被广泛使用并具有其优点，您可以根据需要进行搜索。

需要注意的重要一件事是，您必须使用HTTPS将JWT安全地交付给客户端，并将其保存在安全的地方（例如，本地存储中）。

您可以从此链接了解有关JWT的更多信息。