我开始用 node.js、express 和 mongodb 计划一个 REST API。API 为网站(公共和私人区域)提供数据,以后可能还会为移动应用程序提供数据。前端将使用 AngularJS 开发。
几天来,我阅读了很多关于保护 REST API 的内容,但我没有找到最终的解决方案。据我了解是使用HTTPS来提供基本的安全性。但是我如何在这些用例中保护 API:
仅允许网站/应用程序的访问者/用户获取网站/应用程序公共区域的数据
仅允许经过身份验证和授权的用户获取私有区域的数据(并且仅允许用户授予权限的数据)
目前我考虑只允许具有活动会话的用户使用 API。为了授权用户,我将使用护照并获得许可,我需要为自己实现一些东西。一切都在 HTTPS 之上。
有人可以提供一些最佳实践或经验吗?我的“架构”有缺陷吗?
我遇到了你描述的同样的问题。我正在构建的网站可以通过手机和浏览器访问,因此我需要一个 api 来允许用户注册、登录和执行某些特定任务。此外,我需要支持可伸缩性,即在不同的进程/机器上运行相同的代码。
因为用户可以创建资源(又名 POST/PUT 操作),所以您需要保护您的 api。您可以使用 oauth,也可以构建自己的解决方案,但请记住,如果密码真的很容易发现,所有解决方案都可能被破解。基本思想是使用用户名、密码和令牌(也称为 apitoken)对用户进行身份验证。这个 apitoken 可以使用node-uuid生成,密码可以使用pbkdf2散列
然后,您需要将会话保存在某处。如果您将其保存在内存中的普通对象中,如果您终止服务器并再次重新启动它,则会话将被破坏。此外,这是不可扩展的。如果您使用 haproxy 在机器之间进行负载平衡,或者您只是使用工作人员,则此会话状态将存储在单个进程中,因此如果同一用户被重定向到另一个进程/机器,则需要再次进行身份验证。因此,您需要将会话存储在一个公共位置。这通常使用 redis 完成。
当用户通过身份验证(用户名+密码+apitoken)时,会为会话生成另一个令牌,即 accesstoken。同样,使用 node-uuid。向用户发送访问令牌和用户 ID。userid(key)和accesstoken(value)存储在redis中,有过期时间,比如1h。
现在,每次用户使用 REST API 执行任何操作时,都需要发送用户 ID 和访问令牌。
如果您允许用户使用 rest api 注册,您需要创建一个带有 admin apitoken 的管理员帐户并将其存储在移动应用程序中(加密用户名+密码+apitoken),因为新用户不会有 apitoken他们注册了。
网络也使用这个 api,但你不需要使用 apitokens。您可以将 express 与 redis 存储一起使用,或者使用上述相同的技术,但绕过 apitoken 检查并在 cookie 中向用户返回 userid+accesstoken。
如果您有私人区域,则在进行身份验证时将用户名与允许的用户进行比较。您还可以将角色应用于用户。
概括:
没有 apitoken 的替代方法是使用 HTTPS 并在 Authorization 标头中发送用户名和密码,并将用户名缓存在 redis 中。
根据(我希望如此)接受的答案,我想将此代码作为所提出问题的结构解决方案提供。(您可以非常轻松地自定义它)。
// ------------------------------------------------------
// server.js
// .......................................................
// requires
var fs = require('fs');
var express = require('express');
var myBusinessLogic = require('../businessLogic/businessLogic.js');
// .......................................................
// security options
/*
1. Generate a self-signed certificate-key pair
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out certificate.pem
2. Import them to a keystore (some programs use a keystore)
keytool -importcert -file certificate.pem -keystore my.keystore
*/
var securityOptions = {
key: fs.readFileSync('key.pem'),
cert: fs.readFileSync('certificate.pem'),
requestCert: true
};
// .......................................................
// create the secure server (HTTPS)
var app = express();
var secureServer = require('https').createServer(securityOptions, app);
// ------------------------------------------------------
// helper functions for auth
// .............................................
// true if req == GET /login
function isGETLogin (req) {
if (req.path != "/login") { return false; }
if ( req.method != "GET" ) { return false; }
return true;
} // ()
// .............................................
// your auth policy here:
// true if req does have permissions
// (you may check here permissions and roles
// allowed to access the REST action depending
// on the URI being accessed)
function reqHasPermission (req) {
// decode req.accessToken, extract
// supposed fields there: userId:roleId:expiryTime
// and check them
// for the moment we do a very rigorous check
if (req.headers.accessToken != "you-are-welcome") {
return false;
}
return true;
} // ()
// ------------------------------------------------------
// install a function to transparently perform the auth check
// of incoming request, BEFORE they are actually invoked
app.use (function(req, res, next) {
if (! isGETLogin (req) ) {
if (! reqHasPermission (req) ){
res.writeHead(401); // unauthorized
res.end();
return; // don't call next()
}
} else {
console.log (" * is a login request ");
}
next(); // continue processing the request
});
// ------------------------------------------------------
// copy everything in the req body to req.body
app.use (function(req, res, next) {
var data='';
req.setEncoding('utf8');
req.on('data', function(chunk) {
data += chunk;
});
req.on('end', function() {
req.body = data;
next();
});
});
// ------------------------------------------------------
// REST requests
// ------------------------------------------------------
// .......................................................
// authenticating method
// GET /login?user=xxx&password=yyy
app.get('/login', function(req, res){
var user = req.query.user;
var password = req.query.password;
// rigorous auth check of user-passwrod
if (user != "foobar" || password != "1234") {
res.writeHead(403); // forbidden
} else {
// OK: create an access token with fields user, role and expiry time, hash it
// and put it on a response header field
res.setHeader ('accessToken', "you-are-welcome");
res.writeHead(200);
}
res.end();
});
// .......................................................
// "regular" methods (just an example)
// newBook()
// PUT /book
app.put('/book', function (req,res){
var bookData = JSON.parse (req.body);
myBusinessLogic.newBook(bookData, function (err) {
if (err) {
res.writeHead(409);
res.end();
return;
}
// no error:
res.writeHead(200);
res.end();
});
});
// .......................................................
// "main()"
secureServer.listen (8081);
这个服务器可以用 curl 测试:
echo "---- first: do login "
curl -v "https://localhost:8081/login?user=foobar&password=1234" --cacert certificate.pem
# now, in a real case, you should copy the accessToken received before, in the following request
echo "---- new book"
curl -X POST -d '{"id": "12341324", "author": "Herman Melville", "title": "Moby-Dick"}' "https://localhost:8081/book" --cacert certificate.pem --header "accessToken: you-are-welcome"
我刚刚完成了一个示例应用程序,它以非常基本但清晰的方式执行此操作。它使用 mongoose 和 mongodb 来存储用户和护照以进行身份验证管理。
在 SO 上有很多关于 REST 身份验证模式的问题。这些与您的问题最相关:
基本上,您需要在使用 API 密钥(最不安全,因为密钥可能被未经授权的用户发现)、应用程序密钥和令牌组合(中等)或完整的 OAuth 实现(最安全)之间进行选择。
如果您想保护您的应用程序,那么您绝对应该从使用 HTTPS 而不是 HTTP 开始,这可以确保在您和用户之间创建安全通道,这将防止嗅探来回发送给用户的数据并有助于保留数据交换机密。
您可以使用 JWTs (JSON Web Tokens) 来保护 RESTful API,与服务器端会话相比,这有很多好处,好处主要是:
1- 更具可扩展性,因为您的 API 服务器不必为每个用户维护会话(当您有很多会话时,这可能是一个很大的负担)
2- JWT 是自包含的,并且具有定义用户角色的声明,例如,他可以访问和在日期和到期日发布的内容(在此之后 JWT 将无效)
3-更容易跨负载均衡器处理,如果您有多个 API 服务器,因为您不必共享会话数据,也不必配置服务器以将会话路由到同一服务器,只要带有 JWT 的请求命中任何服务器,就可以对其进行身份验证&授权
4-减少对数据库的压力,并且您不必为每个请求不断存储和检索会话 ID 和数据
5-如果您使用强密钥签署 JWT,则 JWT 不会被篡改,因此您可以信任随请求发送的 JWT 中的声明,而无需检查用户会话以及他是否被授权,您只需检查 JWT 就可以知道该用户可以做什么和做什么。
许多库提供了在大多数编程语言中创建和验证 JWT 的简单方法,例如:在 node.js 中,最流行的一种是jsonwebtoken
由于 REST API 通常旨在保持服务器无状态,因此 JWT 与该概念更兼容,因为每个请求都使用自包含的授权令牌(JWT)发送,与使服务器是有状态的,因此它可以记住用户及其角色,但是,会话也被广泛使用并具有其优点,您可以根据需要进行搜索。
需要注意的一件重要事情是,您必须使用 HTTPS 将 JWT 安全地交付给客户端并将其保存在安全的地方(例如本地存储中)。
您可以从此链接了解有关 JWT的更多信息
如果您想拥有一个完全锁定的 Web 应用程序区域,只能由您公司的管理员访问,那么 SSL 授权可能适合您。它将确保没有人可以连接到服务器实例,除非他们的浏览器中安装了授权证书。上周我写了一篇关于如何设置服务器的文章:文章
这是您会发现的最安全的设置之一,因为不涉及用户名/密码,因此除非您的用户之一将密钥文件交给潜在的黑客,否则任何人都无法获得访问权限。