要保护Node Express和MongoDB API中的帖子路由,可以使用身份验证和授权的方法。以下是一个示例解决方案,包含代码示例:
authMiddleware.js
:// authMiddleware.js
const jwt = require('jsonwebtoken');
const authenticateUser = (req, res, next) => {
// 从请求头中获取授权令牌
const token = req.header('Authorization').replace('Bearer ', '');
try {
// 验证令牌
const decoded = jwt.verify(token, 'your_secret_key');
req.user = decoded;
next();
} catch (error) {
res.status(401).json({ error: 'Authentication failed' });
}
};
module.exports = authenticateUser;
authMiddleware.js
中定义的中间件函数,例如在帖子路由中:// postsRouter.js
const express = require('express');
const authenticateUser = require('./authMiddleware');
const Post = require('../models/Post');
const router = express.Router();
// 获取所有帖子
router.get('/', authenticateUser, async (req, res) => {
try {
// 通过身份验证后的用户信息,可以在此处使用 req.user 进行进一步的授权检查
const posts = await Post.find();
res.json(posts);
} catch (error) {
res.status(500).json({ error: 'Internal server error' });
}
});
// 创建新帖子
router.post('/', authenticateUser, async (req, res) => {
try {
// 通过身份验证后的用户信息,可以在此处使用 req.user 进行进一步的授权检查
const newPost = new Post(req.body);
await newPost.save();
res.status(201).json(newPost);
} catch (error) {
res.status(500).json({ error: 'Internal server error' });
}
});
module.exports = router;
// app.js
const express = require('express');
const postsRouter = require('./routes/postsRouter');
const app = express();
app.use(express.json());
// 将帖子路由绑定到指定路径
app.use('/posts', postsRouter);
app.listen(3000, () => {
console.log('Server is running on port 3000');
});
请注意,上述示例仅包含了身份验证的代码,你可能还需要根据具体需求实现进一步的授权逻辑,例如基于用户角色或权限的控制。此外,为了加强安全性,你应该将密钥your_secret_key
和其他敏感信息存储在环境变量中,而不是直接硬编码到代码中。