使用json-server-auth为json-server添加HTTP请求加密功能

在开发过程中，我们经常使用json-server来快速搭建REST API服务进行前端开发和测试。然而，默认情况下json-server并不提供任何安全机制，所有数据都是公开可访问的。本文将介绍如何通过json-server-auth为json-server添加请求加密和认证功能，确保只有授权用户才能访问数据。

json-server的安全性问题

json-server作为一个轻量级的REST API模拟工具，设计初衷是为了简化前端开发过程中的后端依赖。正因如此，它默认不包含任何安全措施：

1. 所有HTTP端点都是公开的
2. 没有用户认证机制
3. 数据传输默认不加密
4. 任何人都可以读取、修改或删除数据

这在生产环境中显然是不可接受的，即使在开发环境中，有时我们也需要限制某些敏感数据的访问权限。

json-server-auth解决方案

json-server-auth是专为json-server设计的认证中间件，它基于JSON Web Tokens(JWT)实现了完整的认证流程。主要功能包括：

1. 用户注册和登录
2. 基于角色的访问控制
3. JWT令牌验证
4. 密码加密存储
5. 权限管理

实现步骤

1. 安装依赖

首先需要安装json-server和json-server-auth：

npm install json-server json-server-auth

2. 配置服务器

创建一个server.js文件，配置json-server和认证中间件：

const jsonServer = require('json-server')
const auth = require('json-server-auth')

const server = jsonServer.create()
const router = jsonServer.router('db.json')
const middlewares = jsonServer.defaults()

server.use(middlewares)
server.use(jsonServer.bodyParser)

// 设置认证规则
const rules = auth.rewriter({
  // 权限规则
  users: 600,
  posts: 644,
  comments: 644,
})

server.use(rules)
server.use(auth)
server.use(router)

server.listen(3000, () => {
  console.log('JSON Server is running on port 3000')
})

3. 定义数据模型

在db.json中定义用户模型和其他数据模型：

{
  "users": [],
  "posts": [],
  "comments": []
}

4. 启动服务

node server.js

认证流程详解

用户注册

客户端可以通过POST请求到/register端点注册新用户：

curl -X POST -H "Content-Type: application/json" -d '{"email":"user@example.com","password":"secret"}' http://localhost:3000/register

用户登录

注册成功后，用户可以通过/login端点获取JWT令牌：

curl -X POST -H "Content-Type: application/json" -d '{"email":"user@example.com","password":"secret"}' http://localhost:3000/login

响应中将包含一个accessToken，客户端需要在后续请求的Authorization头中携带此令牌。

访问受保护资源

获取令牌后，客户端可以访问受保护的资源：

curl -H "Authorization: Bearer <accessToken>" http://localhost:3000/posts

权限控制

json-server-auth支持基于角色的权限控制，通过数字权限码定义：

• 第一个数字：所有者权限
• 第二个数字：认证用户权限
• 第三个数字：匿名用户权限

每个数字代表：

• 4：读取
• 2：创建
• 1：更新/删除
• 0：无权限

例如644表示：

• 所有者可以读取、创建、更新、删除(6=4+2)
• 认证用户可以读取、创建(4)
• 匿名用户只能读取(4)

安全最佳实践

1. 始终在生产环境中使用HTTPS
2. 设置强密码策略
3. 定期轮换JWT密钥
4. 设置合理的令牌过期时间
5. 实现速率限制防止暴力尝试
6. 记录和监控认证日志

总结

通过json-server-auth，我们可以轻松地为json-server添加强大的认证和授权功能，将原本仅用于开发的工具转变为可用于简单生产环境的API服务。这种方案特别适合需要快速搭建安全后端的原型开发和小型项目。