保护更新和删除路由是非常必要的，因为这些操作涉及对数据的修改，必须确保只有经过授权的用户才能执行这些操作。

下面是一个使用Node.js和Express框架的示例，演示如何保护更新和删除路由：

首先，我们需要设置一个中间件来验证用户的身份和权限。可以使用jsonwebtoken库来生成和验证JSON Web Tokens（JWT）。

// 导入所需的库和模块
const express = require('express');
const jwt = require('jsonwebtoken');

// 导入其他模块和路由处理程序
const authRoutes = require('./routes/auth');
const postRoutes = require('./routes/posts');

// 创建Express应用程序
const app = express();

// 设置身份验证中间件
app.use((req, res, next) => {
  // 获取请求头中的授权令牌
  const token = req.headers.authorization;

  if (token) {
    // 验证令牌
    jwt.verify(token, 'secret_key', (err, decodedToken) => {
      if (err) {
        res.status(401).json({ error: '无效的令牌' });
      } else {
        // 将解码后的用户信息存储在请求对象中，以供后续使用
        req.user = decodedToken.user;
        next();
      }
    });
  } else {
    res.status(401).json({ error: '未提供令牌' });
  }
});

// 设置路由
app.use('/auth', authRoutes);
app.use('/posts', postRoutes);

// 启动服务器
app.listen(3000, () => {
  console.log('服务器已启动');
});

在上面的示例中，我们创建了一个中间件来验证用户的令牌。中间件首先获取请求头中的授权令牌，然后使用jsonwebtoken库来验证令牌的有效性。如果令牌无效或未提供令牌，服务器将返回401状态码和相应的错误消息。如果令牌有效，中间件将解码后的用户信息存储在请求对象中，以供后续使用。

接下来，我们可以定义一个用于更新和删除帖子的路由处理程序。

// 导入所需的库和模块
const express = require('express');

// 创建Express路由
const router = express.Router();

// 更新帖子的路由
router.put('/:id', (req, res) => {
  const postId = req.params.id;
  const updatedPost = req.body;

  // 检查用户是否有权限更新帖子
  if (req.user.role === 'admin') {
    // 执行更新操作
    // ...
    res.json({ message: '帖子已更新' });
  } else {
    res.status(403).json({ error: '没有权限更新帖子' });
  }
});

// 删除帖子的路由
router.delete('/:id', (req, res) => {
  const postId = req.params.id;

  // 检查用户是否有权限删除帖子
  if (req.user.role === 'admin') {
    // 执行删除操作
    // ...
    res.json({ message: '帖子已删除' });
  } else {
    res.status(403).json({ error: '没有权限删除帖子' });
  }
});

// 导出路由
module.exports = router;

在上面的示例中，我们定义了更新和删除帖子的路由处理程序。在每个路由处理程序中，我们首先检查用户的角色是否为管理员（可以根据具体需求进行修改），如果是管理员，则执行更新或删除操作，否则返回403状态码和相应的错误消息。

这样，只有具有管理员权限的用户才能成功更新和删除帖子，其他用户将收到相应的错误消息。