[英]NodeJS, Express, Mongoose RESTFul Api access only by the server itself
我使用NodeJS,Mongoose和Express构建了一个简单的RESTful API。 我正在使用数据库存储简单的字符串引号,并且不打算允许任何其他用户访问数据库或api。
我已经阅读过有关保护RESTful API的信息,但似乎大多数方法都集中在使用用户名和密码来限制访问。 但是,对于这样一个简单的API来说,这似乎是一个矫kill过正,尤其是因为我不考虑允许除服务器本身发出的请求之外的任何其他人进行访问。
因此,我想这样做,以便如果其他人尝试访问该API,则将拒绝该访问。 应该可以访问API的唯一方法是来自服务器本身的请求,即来自服务器上的JavaScript文件。
我目前正在学习所有这些内容,如果我没有使用正确的技术术语,抱歉:)
我正在考虑做一些事情,例如检查试图访问API的人的IP,如果不是服务器的IP,则拒绝访问。 这样的事情会起作用吗,我将如何实现它。
编辑:我正在寻找简单的东西,因为我认为大多数人不会花时间来“破解” API,以便他们可以访问报价数据库。
这是我的server.js
var express = require('express');
var app = express();
var bodyParser = require('body-parser');
var mongoose = require('mongoose');
var Quote = require('./mongodb/models/mainModel.js');
mongoose.connect('mongodb://localhost:27017/myappdb');
app.use(bodyParser.urlencoded({ extended: true }));
app.use(bodyParser.json());
var port = process.env.PORT || 8080;
var router = express.Router();
function grantAccess(req) {
if(req.ip === '::1' ||
req.ip === '127.0.0.1' ||
req.ip === '::ffff:127.0.0.1') {
return true;
}
return ["IP Address Unknown " + req.ip]
}
router.get('/', function(req, res) {
res.json({ message: 'hooray! welcome to our api!' });
});
router.route('/maindb')
.post(function(req, res) {
var quote = new Quote();
quote.name = req.body.name;
quote.severity = req.body.severity;
quote.createdAt = new Date();
quote.updatedAt = new Date();
quote.save(function(err) {
if (err)
res.send(err);
res.json({ message: 'Quote created!' });
});
})
.get(function(req, res) {
if(grantAccess(req) !== 'boolean')
Quote.find(function(err, quotes) {
if (err)
res.send(err);
res.json(quotes);
});
});
router.route('/maindb/:quote_id')
.get(function(req, res) {
Quote.findById(req.params.quote_id, function(err, quote) {
if (err)
res.send(err);
res.json(quote);
});
})
.put(function(req, res) {
Quote.findById(req.params.quote_id, function(err, quote) {
if (err)
res.send(err);
quote.name = req.body.name;
quote.severity = req.body.severity;
quote.updatedAt = new Date();
// save the bear
quote.save(function(err) {
if (err)
res.send(err);
res.json({ message: 'Quote updated!' });
});
});
})
.delete(function(req, res) {
Quote.remove({
_id: req.params.quote_id
}, function(err, quote) {
if (err)
res.send(err);
res.json({ message: 'Successfully deleted' });
});
});
app.use('/api', router);
app.listen(port);
console.log('Magic happens on port ' + port);
您可以在项目中添加apiKey。 如果有人点击您的任何api,则将需要该文件。
例如:
"apiKeys": {
"web": "7fe642cabe6855cd4175937fa8fadd876c1af6b499ab941db6a8a362c0f30f97"
}
同样,您可以为移动用户或根据项目要求设置apikey。
链接以生成RandomKey
这样一来,您将只允许拥有您的api密钥的用户。由于api密钥由您共享,因此您只能将其提供给适当的用户。
api密钥检查:
您可以在对服务器的任何请求之前将api密钥检查为第一个中间件
例:
router.use(function(req,res,next){
var apiKey = req.get('api_key'); // assuming user will send api key in headers
// code to check api key basic comparison
})
如何使用 express Mongoose 在服务器端 Nodejs 上优化 api 查询
[英]How to optomized the api query on server side Nodejs with express Mongoose
couchdb,是否使用中间件? 对于简单的restful API,使用express4 nodejs
[英]couchdb, use middleware or not? Which for simple restful API, with express4 nodejs
为什么我的带有 express 和 nodejs 的 RestFul API 每天都崩溃?
[英]Why my RestFul API with express and nodejs crashed everyday?
Mongoose / Express / Nodejs尝试将变量从服务器传递到html
[英]Mongoose/Express/Nodejs Trying to pass in a variable from server to html
服务器使用带有Node.js和Express.js的Twitter API关闭自身
[英]Server shutting down itself using twitter api with nodejs and expressjs
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.