我已经使用MongoDB Atlas,Express和Node JS构建了我的后端,并将其部署到Heroku。使用 Postman,该应用程序到目前为止运行正常(用户正在添加,我正确接收了 json Web 令牌(。
但我认为这可能不正确,因为似乎任何有权访问我的 Heroku URL 和路由的人都可以轻松创建新用户、接收 json Web 令牌,并基本上使用我的后端操作他们的整个应用程序。
我的问题是:
- 我是否错过了关于如何构建后端的重要信息?
- 如何保护后端,以便只有我的应用可以访问后端?
您可以使用Passportjs来保护您的路线,护照将是访问后端的人和实际后端之间的中间人。
如果传递了有效的 JWT(JWT 策略(,则可以授予对路由的访问权限,否则它将引发 401(未经授权(。
有 400+ 种可用的策略,我会推荐 JWT 一个,因为您已经在生成 JWT。
保护支持是不可或缺的一部分,因为大多数脚本可以禁用前端的安全性,使应用程序容易受到攻击。