211

我开始用 node.js、express 和 mongodb 计划一个 REST API。API 为网站(公共和私人区域)提供数据,以后可能还会为移动应用程序提供数据。前端将使用 AngularJS 开发。

几天来,我阅读了很多关于保护 REST API 的内容,但我没有找到最终的解决方案。据我了解是使用HTTPS来提供基本的安全性。但是我如何在这些用例中保护 API:

  • 仅允许网站/应用程序的访问者/用户获取网站/应用程序公共区域的数据

  • 仅允许经过身份验证和授权的用户获取私有区域的数据(并且仅允许用户授予权限的数据)

目前我考虑只允许具有活动会话的用户使用 API。为了授权用户,我将使用护照并获得许可,我需要为自己实现一些东西。一切都在 HTTPS 之上。

有人可以提供一些最佳实践或经验吗?我的“架构”有缺陷吗?

4

6 回答 6

180

我遇到了你描述的同样的问题。我正在构建的网站可以通过手机和浏览器访问,因此我需要一个 api 来允许用户注册、登录和执行某些特定任务。此外,我需要支持可伸缩性,即在不同的进程/机器上运行相同的代码。

因为用户可以创建资源(又名 POST/PUT 操作),所以您需要保护您的 api。您可以使用 oauth,也可以构建自己的解决方案,但请记住,如果密码真的很容易发现,所有解决方案都可能被破解。基本思想是使用用户名、密码和令牌(也称为 apitoken)对用户进行身份验证。这个 apitoken 可以使用node-uuid生成,密码可以使用pbkdf2散列

然后,您需要将会话保存在某处。如果您将其保存在内存中的普通对象中,如果您终止服务器并再次重新启动它,则会话将被破坏。此外,这是不可扩展的。如果您使用 haproxy 在机器之间进行负载平衡,或者您只是使用工作人员,则此会话状态将存储在单个进程中,因此如果同一用户被重定向到另一个进程/机器,则需要再次进行身份验证。因此,您需要将会话存储在一个公共位置。这通常使用 redis 完成。

当用户通过身份验证(用户名+密码+apitoken)时,会为会话生成另一个令牌,即 accesstoken。同样,使用 node-uuid。向用户发送访问令牌和用户 ID。userid(key)和accesstoken(value)存储在redis中,有过期时间,比如1h。

现在,每次用户使用 REST API 执行任何操作时,都需要发送用户 ID 和访问令牌。

如果您允许用户使用 rest api 注册,您需要创建一个带有 admin apitoken 的管理员帐户并将其存储在移动应用程序中(加密用户名+密码+apitoken),因为新用户不会有 apitoken他们注册了。

网络也使用这个 api,但你不需要使用 apitokens。您可以将 express 与 redis 存储一起使用,或者使用上述相同的技术,但绕过 apitoken 检查并在 cookie 中向用户返回 userid+accesstoken。

如果您有私人区域,则在进行身份验证时将用户名与允许的用户进行比较。您还可以将角色应用于用户。

概括:

序列图

没有 apitoken 的替代方法是使用 HTTPS 并在 Authorization 标头中发送用户名和密码,并将用户名缓存在 redis 中。

于 2013-03-19T13:25:59.530 回答
23

根据(我希望如此)接受的答案,我想将此代码作为所提出问题的结构解决方案提供。(您可以非常轻松地自定义它)。

// ------------------------------------------------------
// server.js 

// .......................................................
// requires
var fs = require('fs');
var express = require('express'); 
var myBusinessLogic = require('../businessLogic/businessLogic.js');

// .......................................................
// security options

/*
1. Generate a self-signed certificate-key pair
openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout key.pem -out certificate.pem

2. Import them to a keystore (some programs use a keystore)
keytool -importcert -file certificate.pem -keystore my.keystore
*/

var securityOptions = {
    key: fs.readFileSync('key.pem'),
    cert: fs.readFileSync('certificate.pem'),
    requestCert: true
};

// .......................................................
// create the secure server (HTTPS)

var app = express();
var secureServer = require('https').createServer(securityOptions, app);

// ------------------------------------------------------
// helper functions for auth

// .............................................
// true if req == GET /login 

function isGETLogin (req) {
    if (req.path != "/login") { return false; }
    if ( req.method != "GET" ) { return false; }
    return true;
} // ()

// .............................................
// your auth policy  here:
// true if req does have permissions
// (you may check here permissions and roles 
//  allowed to access the REST action depending
//  on the URI being accessed)

function reqHasPermission (req) {
    // decode req.accessToken, extract 
    // supposed fields there: userId:roleId:expiryTime
    // and check them

    // for the moment we do a very rigorous check
    if (req.headers.accessToken != "you-are-welcome") {
        return false;
    }
    return true;
} // ()

// ------------------------------------------------------
// install a function to transparently perform the auth check
// of incoming request, BEFORE they are actually invoked

app.use (function(req, res, next) {
    if (! isGETLogin (req) ) {
        if (! reqHasPermission (req) ){
            res.writeHead(401);  // unauthorized
            res.end();
            return; // don't call next()
        }
    } else {
        console.log (" * is a login request ");
    }
    next(); // continue processing the request
});

// ------------------------------------------------------
// copy everything in the req body to req.body

app.use (function(req, res, next) {
    var data='';
    req.setEncoding('utf8');
    req.on('data', function(chunk) { 
       data += chunk;
    });
    req.on('end', function() {
        req.body = data;
        next(); 
    });
});

// ------------------------------------------------------
// REST requests
// ------------------------------------------------------

// .......................................................
// authenticating method
// GET /login?user=xxx&password=yyy

app.get('/login', function(req, res){
    var user = req.query.user;
    var password = req.query.password;

    // rigorous auth check of user-passwrod
    if (user != "foobar" || password != "1234") {
        res.writeHead(403);  // forbidden
    } else {
        // OK: create an access token with fields user, role and expiry time, hash it
        // and put it on a response header field
        res.setHeader ('accessToken', "you-are-welcome");
        res.writeHead(200); 
    }
    res.end();
});

// .......................................................
// "regular" methods (just an example)
// newBook()
// PUT /book

app.put('/book', function (req,res){
    var bookData = JSON.parse (req.body);

    myBusinessLogic.newBook(bookData, function (err) {
        if (err) {
            res.writeHead(409);
            res.end();
            return;
        }
        // no error:
        res.writeHead(200);
        res.end();
    });
});

// .......................................................
// "main()"

secureServer.listen (8081);

这个服务器可以用 curl 测试:

echo "----   first: do login "
curl -v "https://localhost:8081/login?user=foobar&password=1234" --cacert certificate.pem

# now, in a real case, you should copy the accessToken received before, in the following request

echo "----  new book"
curl -X POST  -d '{"id": "12341324", "author": "Herman Melville", "title": "Moby-Dick"}' "https://localhost:8081/book" --cacert certificate.pem --header "accessToken: you-are-welcome" 
于 2014-05-28T10:38:47.510 回答
11

我刚刚完成了一个示例应用程序,它以非常基本但清晰的方式执行此操作。它使用 mongoose 和 mongodb 来存储用户和护照以进行身份​​验证管理。

https://github.com/Khelldar/Angular-Express-Train-Seed

于 2013-04-02T04:25:10.257 回答
10

在 SO 上有很多关于 REST 身份验证模式的问题。这些与您的问题最相关:

基本上,您需要在使用 API 密钥(最不安全,因为密钥可能被未经授权的用户发现)、应用程序密钥和令牌组合(中等)或完整的 OAuth 实现(最安全)之间进行选择。

于 2013-03-19T11:34:54.437 回答
6

如果您想保护您的应用程序,那么您绝对应该从使用 HTTPS 而不是 HTTP 开始,这可以确保在您和用户之间创建安全通道,这将防止嗅探来回发送给用户的数据并有助于保留数据交换机密。

您可以使用 JWTs (JSON Web Tokens) 来保护 RESTful API,与服务器端会话相比,这有很多好处,好处主要是:

1- 更具可扩展性,因为您的 API 服务器不必为每个用户维护会话(当您有很多会话时,这可能是一个很大的负担)

2- JWT 是自包含的,并且具有定义用户角色的声明,例如,他可以访问和在日期和到期日发布的内容(在此之后 JWT 将无效)

3-更容易跨负载均衡器处理,如果您有多个 API 服务器,因为您不必共享会话数据,也不必配置服务器以将会话路由到同一服务器,只要带有 JWT 的请求命中任何服务器,就可以对其进行身份验证&授权

4-减少对数据库的压力,并且您不必为每个请求不断存储和检索会话 ID 和数据

5-如果您使用强密钥签署 JWT,则 JWT 不会被篡改,因此您可以信任随请求发送的 JWT 中的声明,而无需检查用户会话以及他是否被授权,您只需检查 JWT 就可以知道该用户可以做什么和做什么。

许多库提供了在大多数编程语言中创建和验证 JWT 的简单方法,例如:在 node.js 中,最流行的一种是jsonwebtoken

由于 REST API 通常旨在保持服务器无状态,因此 JWT 与该概念更兼容,因为每个请求都使用自包含的授权令牌(JWT)发送,与使服务器是有状态的,因此它可以记住用户及其角色,但是,会话也被广泛使用并具有其优点,您可以根据需要进行搜索。

需要注意的一件重要事情是,您必须使用 HTTPS 将 JWT 安全地交付给客户端并将其保存在安全的地方(例如本地存储中)。

您可以从此链接了解有关 JWT的更多信息

于 2018-10-15T18:05:52.203 回答
2

如果您想拥有一个完全锁定的 Web 应用程序区域,只能由您公司的管理员访问,那么 SSL 授权可能适合您。它将确保没有人可以连接到服务器实例,除非他们的浏览器中安装了授权证书。上周我写了一篇关于如何设置服务器的文章:文章

这是您会发现的最安全的设置之一,因为不涉及用户名/密码,因此除非您的用户之一将密钥文件交给潜在的黑客,否则任何人都无法获得访问权限。

于 2013-03-19T12:57:01.947 回答