保护MERN应用程序的后端API端点的解决方法包括使用身份验证和授权机制。以下是一个示例代码，演示如何使用JSON Web Token（JWT）来保护API端点。

1. 创建JWT中间件

首先，创建一个JWT中间件，用于验证传入请求的JWT令牌。如果令牌有效，则将用户信息添加到请求对象中，以供后续处理程序使用。如果令牌无效，则返回401未经授权的错误。

// jwtMiddleware.js

const jwt = require('jsonwebtoken');
const User = require('../models/User');

const jwtMiddleware = async (req, res, next) => {
  try {
    const token = req.header('Authorization').replace('Bearer ', '');
    const decoded = jwt.verify(token, 'your_secret_key');
    const user = await User.findOne({ _id: decoded._id, 'tokens.token': token });

    if (!user) {
      throw new Error();
    }

    req.user = user;
    req.token = token;
    next();
  } catch (error) {
    res.status(401).send({ error: 'Unauthorized' });
  }
};

module.exports = jwtMiddleware;

2. 应用JWT中间件

在需要保护的API端点上应用JWT中间件，通过将其作为第二个参数传递给路由处理程序函数来使用它。

// routes.js

const express = require('express');
const jwtMiddleware = require('../middlewares/jwtMiddleware');
const router = express.Router();

// 需要保护的API端点
router.get('/protected', jwtMiddleware, (req, res) => {
  res.send('Protected API endpoint');
});

module.exports = router;

3. 生成和验证JWT令牌

在用户登录成功后，生成JWT令牌并将其发送给客户端。在后续请求中，客户端需要将令牌作为Authorization标头的Bearer令牌发送到服务器。

// auth.js

const express = require('express');
const jwt = require('jsonwebtoken');
const User = require('../models/User');
const router = express.Router();

// 用户登录
router.post('/login', async (req, res) => {
  try {
    const { email, password } = req.body;
    const user = await User.findByCredentials(email, password);

    if (!user) {
      throw new Error();
    }

    const token = jwt.sign({ _id: user._id.toString() }, 'your_secret_key');
    user.tokens = user.tokens.concat({ token });
    await user.save();

    res.send({ user, token });
  } catch (error) {
    res.status(400).send({ error: 'Invalid credentials' });
  }
});

module.exports = router;

这样，通过使用JWT中间件和JWT令牌，您可以保护MERN应用程序的后端API端点，并仅允许经过身份验证和授权的用户访问它们。