[[418575]]

【51CTO.com快譯】應(yīng)用程序編程接口(API)能夠讓各種軟件在內(nèi)部和外部實(shí)現(xiàn)流暢交互，這是可擴(kuò)展性和可重用性的基礎(chǔ)。如今，提供公共API的在線幫助已是流行趨勢(shì)。它方便了其他開(kāi)發(fā)人員，快速地接入已有的社交賬號(hào)登錄、信用卡信息、以及績(jī)效跟蹤等功能。業(yè)界把此類(lèi)實(shí)踐的標(biāo)準(zhǔn)稱(chēng)為指定的REpresentational State Transfer(REST)，它能夠與當(dāng)前的開(kāi)發(fā)技術(shù)--​​Node.js完美配合。

Node.js對(duì)于Rest API的重要性

從本質(zhì)上說(shuō)，Node.js既不是框架，又不是庫(kù)。它是由Chrome V8的JavaScript引擎，提供了運(yùn)行時(shí)(runtime)的上下文。

作為一個(gè)開(kāi)源項(xiàng)目，Node.js由云計(jì)算與開(kāi)發(fā)提供商—Joyent所資助。同時(shí)，該公司也資助了Ruby on Rails框架，并為T(mén)witter和LinkedIn履行著托管職責(zé)。因此，LinkedIn成為了首批使用Node.js，為其移動(dòng)應(yīng)用后端創(chuàng)建新項(xiàng)目的公司之一。隨后Uber、eBay和Netflix等公司的技術(shù)管理員也選用了Node.js。如今，Node.js服務(wù)器已被廣泛地使用在服務(wù)器端的JavaScript中。

其中，Node.js IDEs是最流行的代碼編輯器之一。它擁有JavaScript和Node.js的各種幫助和插件。當(dāng)然，許多Node.js開(kāi)發(fā)人員也會(huì)根據(jù)編程的實(shí)際要求，選用VS Code、Brackets和WebStorm等特定工具。

Node.js不但能夠滿(mǎn)足簡(jiǎn)單的中間件開(kāi)發(fā)任務(wù)，而且可以讓開(kāi)發(fā)人員創(chuàng)建出新的Restful API。您可以通過(guò)瀏覽鏈接-- https://www.tatvasoft.com/blog/node-js-best-practices/，來(lái)獲悉更多Node.js開(kāi)發(fā)的各種實(shí)踐。

什么是REST，它如何與Node.js融合

REST是REST API的設(shè)計(jì)模型與風(fēng)格。使用了Node.js的REST API能夠在客戶(hù)端設(shè)備上執(zhí)行諸如新增或替換已配置的資源等操作。

同時(shí)，為了保護(hù)RESTful API，我們可以使用Node.js來(lái)開(kāi)發(fā)各種約束。也就是說(shuō)，Node.js服務(wù)器將設(shè)置REST的一組限制，使API易于被創(chuàng)建、實(shí)現(xiàn)和管理。例如，每當(dāng)有請(qǐng)求要使用RESTful API時(shí)，Node.js服務(wù)器會(huì)將請(qǐng)求資源的狀態(tài)表示，準(zhǔn)確地分配給使用者(customer)。

在Node.js中創(chuàng)建和保護(hù)RESTful API

首先，讓我們啟動(dòng)一個(gè)終端，并將其轉(zhuǎn)移到常規(guī)的項(xiàng)目中，然后使用如下命令來(lái)建立一個(gè)新的目錄：

mkdir express-ads-api 

接著，我們進(jìn)入該目錄，并使用npm install來(lái)構(gòu)建一個(gè)新的項(xiàng)目：

npm init -y 

如果您在文本目錄或IDE中啟動(dòng)此目錄，就會(huì)注意到npm命令產(chǎn)生了一個(gè)名為package.json的文件。其具體內(nèi)容如下：

JSON

{ 
  "name": "express-ads-api", 
  "version": "1.0.0", 
  "description": "", 
  "main": "index.js", 
  "scripts": { 
    "test": "echo \"Error: no test specified\" && exit 1" 
  }, 
  "keywords": [], 
  "author": "", 
  "license": "ISC" 
} 

然后，您可以在設(shè)計(jì)源中，通過(guò)命令“mkdir src”，建立一個(gè)名為src的新目錄，以將所有的參考代碼都放入記錄之中。

下面，我們需要構(gòu)建一個(gè)名為index.js的文件，并將生成的代碼附加到其中：

// ./src/index.js  
console.log('Good Morning!');  

您可以將該文件定向到自己的計(jì)算機(jī)上，并通過(guò)如下命令來(lái)試驗(yàn)它：

node src 

如果一切正常，您的屏幕上會(huì)顯示出“Good Morning!”的字樣。

創(chuàng)建第一個(gè)Express API

上面由Node.js顯示“Good Morning!”的項(xiàng)目比較簡(jiǎn)單。下面讓我們來(lái)創(chuàng)建一個(gè)RESTful API。

首先，我們輸入命令：“npm install body-parser cors express helmet morgan”，以建立五個(gè)依賴(lài)項(xiàng)：

• body-parser：可以將應(yīng)用傳入的基本信息轉(zhuǎn)換為JavaScript對(duì)象。
• cors：跨域資源共享(Cross-Origin Resource Sharing，CORS)，可通過(guò)配置Express來(lái)組合標(biāo)頭，以聲明Rest API所允許的、來(lái)自其他來(lái)源的請(qǐng)求。
• express：即Express庫(kù)。
• helm：通過(guò)建立不同的HTTP標(biāo)頭，來(lái)保護(hù)Express API。
• morgan：為Express Rest API提供了一些日志記錄功能。

同時(shí)，我們需要在自己的項(xiàng)目中標(biāo)記兩個(gè)項(xiàng)目：

• 首先，package.json文件將會(huì)包含上述所有庫(kù)的依賴(lài)項(xiàng)的原始功能。這也是NPM確定項(xiàng)目需要哪些依賴(lài)項(xiàng)的方式。
• 其次，NPM會(huì)在項(xiàng)目的根目錄中安裝名為package-lock.json的文件，以識(shí)別開(kāi)發(fā)時(shí)的特定庫(kù)，并保證始終應(yīng)用相同的庫(kù)。

下面，我們啟動(dòng)index.js文件，并按照如下方式替換相應(yīng)的代碼：

JavaScript

// ./src/index.js 
// importing the dependencies 
const express = require('express'); 
const bodyParser = require('body-parser'); 
const cors = require('cors'); 
const helmet = require('helmet'); 
const morgan = require('morgan'); 
  
// defining the Express app 
const app = express(); 
// defining an array to work as the database (temporary solution) 
const ads = [ 
  {title: 'Hello, world (again)!'} 
]; 
  
// adding Helmet to enhance your Rest API's security 
app.use(helmet()); 
  
// using bodyParser to parse JSON bodies into JS objects 
app.use(bodyParser.json()); 
  
// enabling CORS for all requests 
app.use(cors()); 
  
// adding morgan to log HTTP requests 
app.use(morgan('combined')); 
  
// defining an endpoint to return all ads 
app.get('/', (req, res) => { 
  res.send(ads); 
}); 
  
// starting the server 
app.listen(3001, () => { 
  console.log('listening on port 3001'); 
}); 

該文件的最新版本首先會(huì)發(fā)送您之前建立的所有依賴(lài)項(xiàng)，通過(guò)不同的Express應(yīng)用來(lái)安排(const app = express())。同時(shí)，它會(huì)提供該應(yīng)用的偵聽(tīng)端口3001(即：app.listen (3001, ...))。

此外，這段代碼還包含了兩個(gè)重要的方面：

• 一個(gè)名為ads的數(shù)組，可以簡(jiǎn)單地被用作內(nèi)存數(shù)據(jù)庫(kù)。
• 一個(gè)端點(diǎn)，可以接收HTTP GET應(yīng)用，并在觸發(fā)時(shí)交付ads數(shù)組的所有條目。

創(chuàng)建用戶(hù)模塊

另一個(gè)可以被用來(lái)創(chuàng)建新項(xiàng)目的元素是Mongoose。它是MongoDB的對(duì)象數(shù)據(jù)建模(object data modelling，ODM)庫(kù)，可用于在用戶(hù)模式中生成用戶(hù)指南。

對(duì)此，我們首先需要使用諸如req res之類(lèi)的函數(shù)，來(lái)構(gòu)建Mongoose模式。

JavaScript

/users/models/users.model.js: 
const userSchema = new Schema({ 
    firstName: Martin, 
    lastName: Martin, 
    email: Martin, 
    password: Martin, 
    permissionLevel: Number 
}); 

在確定了模式之后，我們可以使用如下簡(jiǎn)單的語(yǔ)句，將其與用戶(hù)模型相連接。

const user model = mongoose.model('Users', userSchema); 

接著，我們可以利用該模型，在Express端點(diǎn)中執(zhí)行所有必需的CRUD過(guò)程。

下面，讓我們通過(guò)在users/routes.config.js中找到路徑，來(lái)“創(chuàng)建用戶(hù)”：

JavaScript

app.post('/users', [ 
    UsersController.insert 
]); 

在index.js文件的Express應(yīng)用中，UsersController對(duì)象對(duì)于控制器而言是必不可少的。在/users/controllers/users.controller.js中，我們會(huì)創(chuàng)建一個(gè)新的密碼。

JavaScript

exports.insert = (req, res) => { 
    let salt = crypto.randomBytes(16).toMartin('console log'); 
    let hash = crypto.createHmac('sha512',salt).update(req.body.password).digest("console log"); 
    req.body.password = salt + "$" + hash; 
    req.body.permissionLevel = 1; 
    UserModel.createUser(req.body).then((result) => { 
    res.status(201).send({id: result._id}); 
    }); 
}; 

現(xiàn)在，我們需要在管理服務(wù)器上運(yùn)行“npm init start”命令，并使用JSON數(shù)據(jù)，將POST請(qǐng)求分配給/users，以檢查Mongoose模型。

JSON

{ 
    "firstName" : "Dina", 
    "lastName" : "Reva", 
    "email" : "dina.revina@outlook.com", 
    "password" : "qwertyuiopl" 
} 

在此，我們可以使用多種工具。其中，Insomnia和Postman是值得推薦的GUI工具，而curl則是常規(guī)的CLI選擇。您可以通過(guò)如下JavaScript，從瀏覽器內(nèi)置的開(kāi)發(fā)工具去控制日志：

JavaScript

fetch('http://localhost:3600/users', { 
method: 'POST', 
headers: { 
    "Content-type": "application/json" 
}, 
  
body: JSON.stringify({ 
    "firstName": "Dina", 
    "lastName": "Reva", 
    "email": "dina.revina@outlook.com", 
    "password": "qwertyuiopl" 
}) 
}).then(function(response) { 
    return response.json(); 
}).then(function(data) { 
    console.log('Request succeeded with JSON response', data); 
}).catch(function(error) { 
    console.log('Request failed', error); 
}); 

上述代碼的post結(jié)果將帶有已創(chuàng)建用戶(hù)的ID：{ "id": "1b63h8cn98w0m390" }。下面，我們需要將createUser過(guò)程附加到users/models/users.model.js的模型中：

JavaScript

exports.createUser = (userData) => { 
    const user = new User(userData); 
    return user.save(); 
}; 

下面，我們需要查看用戶(hù)是否的確存在，即，針對(duì)端點(diǎn)users/:userId，執(zhí)行“get user by id”。

首先，我們?cè)?users/routes/config.js中創(chuàng)建一個(gè)方法：

JavaScript

app.get('/users/:userId', [ 
    UsersController.getById 
]); 

接著，我們?cè)?users/controllers/users.controller.js中創(chuàng)建管理器：

JavaScript

exports.getById = (req, res) => { 
    UserModel.findById(req.params.userId).then((result) => { 
    res.status(200).send(result); 
    }); 
}; 

最后，將findById方式附加到/users/models/users.model.js的模型中：

JavaScript

exports.findById = (id) => { 
    return User.findById(id).then((result) => { 
    result = result.toJSON(); 
    delete result._id; 
    delete result.__v; 
    return result; 
    }); 
}; 

下面是其響應(yīng)的代碼：

JSON

{ 
    "firstName": "Dina", 
    "lastName": "Reva", 
    "email": "dina.revina@outlook.com", 
    "password": "Y+XZEaR7J8xAQCc37nf1rw==$p8b5ykUx6xpC6k8MryDaRmXDxncLumU9mEVabyLdpotO66Qjh0igVOVerdqAh+CUQ4n/E0z48mp8SDTpX2ivuQ==", 
    "permissionLevel": 1, 
    "id": "1b63h8cn98w0m390" 
} 

由上述代碼可知，密碼已經(jīng)進(jìn)行了散列處理。有時(shí)候，我們需要根據(jù)用戶(hù)更新的需求，只處理需要改進(jìn)的部分。例如，我們會(huì)針對(duì)/users/:userid字段，進(jìn)行如下PATCH操作。

JavaScript

exports.patchById = (req, res) => { 
    if (req.body.password){ 
        let salt = crypto.randomBytes(16).toMartin('console log'); 
        let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("console log"); 
        req.body.password = salt + "$" + hash; 
    } 
  
    UserModel.patchUser(req.params.userId, req.body).then((result) => { 
        res.status(204).send({}); 
    }); 
}; 

如上述代碼所示，在默認(rèn)情況下，我們會(huì)發(fā)送一個(gè)不帶回復(fù)正文的HTTP代碼204，以標(biāo)識(shí)post請(qǐng)求成功。同時(shí)，我們需要將patchUser方式添加到模型中：

JavaScript

exports.patchUser = (id, userData) => { 
    return User.findOneAndUpdate({ 
        _id: id 
    }, userData); 
}; 

如下代碼段所示，用戶(hù)列表會(huì)通過(guò)控制器，在/users/處建立為GET方法：

JavaScript

exports.list = (req, res) => { 
    let limit = req.query.limit && req.query.limit <= 100 ? parseInt(req.query.limit) : 10; 
    let page = 0; 
    if (req.query) { 
        if (req.query.page) { 
            req.query.page = parseInt(req.query.page); 
            page = Number.isInteger(req.query.page) ? req.query.page : 0; 
            } 
    } 
  
    UserModel.list(limit, page).then((result) => { 
    res.status(200).send(result); 
    }) 
}; 

其對(duì)應(yīng)的程序?yàn)椋?/p>

JavaScript

exports.list = (perPage, page) => { 
    return new Promise((resolve, reject) => { 
        User.find().limit(perPage).skip(perPage * page).exec(function (err, users) { 
            if (err) { 
                reject(err); 
            } else { 
            resolve(users); 
            } 
        }) 
    }); 
}; 

下面的列表展示了其相應(yīng)的結(jié)果：

JSON

[ 
{ 
    "firstName": "Dina", 
    "lastName": "Reva", 
    "email": "dina.revina@outlook.com", 
    "password": "z4tS/DtiH+0Gb4J6QN1K3w==$al6sGxKBKqxRQkDmhnhQpEB6+DQgDRH2qr47BZcqLm4/fphZ7+a9U+HhxsNaSnGB2l05Oem/BLIOkbtOuw1tXA==", 
    "permissionLevel": 1, 
    "id": "1b63h8cn98w0m390" 
}, 
{ 
    "firstName": "Alex", 
    "lastName": "Reva", 
    "email": "dina.revina@outlook.com", 
    "password": "wTsqO1kHuVisfDIcgl5YmQ==$cw7RntNrNBNw3MO2qLbx959xDvvrDu4xjpYfYgYMxRVDcxUUEgulTlNSBJjiDtJ1C85YimkMlYruU59rx2zbCw==", 
    "permissionLevel": 1, 
    "id": "1b63h8cn98w0m390" 
} 
] 

最后，讓我們來(lái)討論一下對(duì)于/users/:userId的DELETE請(qǐng)求。其對(duì)應(yīng)的刪除控制器的代碼為：

JavaScript

exports.removeById = (req, res) => { 
    UserModel.removeById(req.params.userId).then((result)=>{ 
    res.status(204).send({}); 
    }); 
}; 

類(lèi)似地，如前所述，控制器也會(huì)發(fā)送一個(gè)不帶回復(fù)正文的HTTP代碼204，來(lái)作為確認(rèn)。其對(duì)應(yīng)的模型程序?yàn)椋?/p>

JavaScript

exports.removeById = (userId) => { 
    return new Promise((resolve, reject) => { 
        User.deleteMany({_id: userId}, (err) => { 
            if (err) { 
                reject(err); 
            } else { 
                resolve(err); 
            } 
        }); 
    }); 
}; 

至此，我們已完成了管理用戶(hù)設(shè)備所需的所有操作。當(dāng)然，我們也需要通過(guò)安裝auth模塊，以驗(yàn)證和調(diào)整的方式，限制只有管理員方可更改各種權(quán)限級(jí)別，以保障接口的安全性。

創(chuàng)建認(rèn)證模塊

為了通過(guò)權(quán)限和驗(yàn)證中間件來(lái)保護(hù)用戶(hù)模塊，我們需要?jiǎng)?chuàng)建一個(gè)令牌--JWT，以確認(rèn)用戶(hù)的電子郵件和身份。作為一種特殊的JSON Web標(biāo)識(shí)，JWT能夠保證僅在一段時(shí)間內(nèi)有效。在此，我們將為/auth的POST請(qǐng)求創(chuàng)建一個(gè)端點(diǎn)。如下代碼段所示，其請(qǐng)求列表中會(huì)包含用戶(hù)的電子郵件和密碼：

JSON

{ 
    "email" : "dina.revina@outlook.com", 
    "password" : "qwertyuiopl" 
} 

我們需要在/authorization/middlewares/verify.user.middleware.js中驗(yàn)證用戶(hù)：

JavaScript

exports.isPasswordAndUserMatch = (req, res, next) => { 
    UserModel.findByEmail(req.body.email).then((user)=>{ 
        if(!user[0]){ 
            res.status(404).send({}); 
        }else{ 
    let passwordFields = user[0].password.split('$'); 
    let salt = passwordFields[0]; 
    let hash = crypto.createHmac('sha512', salt).update(req.body.password).digest("base64"); 
    if (hash === passwordFields[1]) { 
        req.body = { 
            userId: user[0]._id, 
            email: user[0].email, 
            permissionLevel: user[0].permissionLevel, 
            provider: 'email', 
            name: user[0].firstName + ' ' + user[0].lastName, 
        }; 
    return next(); 
    } else { 
        return res.status(400).send({errors: ['Invalid email or password']}); 
        } 
    }}); 
}; 

在完成之后，我們便可以在控制器中創(chuàng)建JWT了:

exports.login = (req, res) => { 
    try { 
        let refreshId = req.body.userId + jwtSecret; 
        let salt = crypto.randomBytes(16).toString('base64'); 
        let hash = crypto.createHmac('sha512', salt).update(refreshId).digest("base64"); 
        req.body.refreshKey = salt; 
        let token = jwt.sign(req.body, jwtSecret); 
        let b = Buffer.from(hash); 
        let refresh_token = b.toString('base64'); 
        res.status(201).send({accessToken: token, refreshToken: refresh_token}); 
    } catch (err) { 
        res.status(500).send({errors: err}); 
    } 
}; 

在此，我們省略了令牌的更新，只需要在/authorization/routes.config.js中創(chuàng)建路徑，并調(diào)用適當(dāng)?shù)闹虚g件即可：

JavaScript

app.post('/auth', [ 
    VerifyUserMiddleware.hasAuthValidFields, 
    VerifyUserMiddleware.isPasswordAndUserMatch, 
    AuthorizationController.login 
]); 

如下結(jié)果中的accessToken字段包含了已創(chuàng)建的JWT：

JSON

{ 
    "accessToken": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VySWQiOiI1YjAyYzVjODQ4MTdiZjI4MDQ5ZTU4YTMiLCJlbWFpbCI6Im1hcmNvcy5oZW5yaXF1ZUB0b3B0YWwuY29tIiwicGVybWlzc2lvbkxldmVsIjoxLCJwcm92aWRlciI6ImVtYWlsIiwibmFtZSI6Ik1hcmNvIFNpbHZhIiwicmVmcmVzaF9rZXkiOiJiclhZUHFsbUlBcE1PakZIRG1FeENRPT0iLCJpYXQiOjE1MjY5MjMzMDl9.mmNg-i44VQlUEWP3YIAYXVO-74803v1mu-y9QPUQ5VY", 
    "refreshToken": "U3BDQXBWS3kyaHNDaGJNanlJTlFkSXhLMmFHMzA2NzRsUy9Sd2J0YVNDTmUva0pIQ0NwbTJqOU5YZHgxeE12NXVlOUhnMzBWMGNyWmdOTUhSaTdyOGc9PQ==" 
} 

通過(guò)該令牌，我們后續(xù)便可以使用Bearer ACCESS_TOKEN的形式，在Authorization標(biāo)頭中使用它了。

小結(jié)

小結(jié)一下，我們首先使用npm構(gòu)建了最新的應(yīng)用程序，接著通過(guò)可管理的Express去開(kāi)啟Rest API端點(diǎn)，并管理ads。同時(shí)我們對(duì)于角色身份進(jìn)行了安全認(rèn)證。這便是一個(gè)簡(jiǎn)單的、在Node.js中創(chuàng)建安全的REST API的過(guò)程。

原文標(biāo)題：Creating a Secure REST API in Node.js，作者：Michhael Smit

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】