Node.js 中使用中间件实现请求验证

欢迎词 🎉

大家好！欢迎来到今天的讲座。我是你们的讲师，今天我们要一起探讨一个非常有趣且实用的话题：如何在 Node.js 中使用中间件实现请求验证。如果你是第一次接触 Node.js 或者对中间件还不是很熟悉，别担心，我会尽量用通俗易懂的语言来解释每一个概念，并且通过大量的代码示例帮助你理解。

在我们开始之前，先让我们简单了解一下什么是中间件。想象一下，你在餐厅点餐时，服务员会先记录你的订单，然后交给厨师准备食物。在这个过程中，服务员就像是一个“中间人”，他负责接收请求（你的订单），处理一些必要的信息（比如确认你是否需要加辣），然后再将请求传递给下一个环节（厨师）。在 Node.js 中，中间件的作用与此类似——它可以在请求到达最终处理逻辑之前，对请求进行预处理、验证或修改。

那么，为什么我们需要请求验证呢？想象一下，如果你经营一家餐厅，你会希望每个顾客都能顺利点餐并享受美食，但你也需要确保他们不会点一些不合理的东西，比如要求厨师用金子做菜 😅。同样的道理，在 web 开发中，我们希望用户能够正常访问我们的 API，但我们也要确保他们的请求是合法的、安全的，避免恶意攻击或误操作。

接下来，我们将逐步深入探讨如何使用中间件来实现请求验证。我们会从基础概念入手，逐步介绍如何编写和使用中间件，最后还会讨论一些常见的验证场景和最佳实践。准备好了吗？让我们开始吧！

什么是中间件？ Middleware 是什么？

在 Node.js 中，中间件（Middleware）是一个函数，它可以在请求到达最终处理逻辑之前执行。你可以把它想象成一个“守门员”，它会在请求进入系统的核心逻辑之前，检查、修改甚至阻止请求。中间件可以用于多种目的，比如：

日志记录：记录每次请求的时间、URL、方法等信息。
身份验证：验证用户是否已登录或是否有权限访问某个资源。
数据验证：检查请求中的数据是否符合预期格式。
错误处理：捕获并处理可能发生的错误，防止它们影响整个应用。
响应修改：在发送响应之前，对响应内容进行修改或增强。

在 Express.js 这样的框架中，中间件是非常重要的组成部分。Express 提供了内置的中间件支持，允许开发者轻松地添加自定义逻辑到请求处理流程中。

中间件的工作原理

中间件函数通常有三个参数：req（请求对象）、res（响应对象）和 next（下一个中间件或路由处理器）。next 是一个非常重要的参数，它告诉 Express 当前中间件已经完成工作，应该继续执行下一个中间件或路由处理器。如果中间件没有调用 next，请求将会被“卡住”，无法继续向下传递。

app.use((req, res, next) => {
  console.log('这是第一个中间件');
  next(); // 调用 next 继续执行下一个中间件
});

在这个例子中，每当有请求到达时，都会先经过这个中间件，打印一条日志，然后调用 next() 将请求传递给下一个中间件或路由处理器。

全局中间件 vs 局部中间件

中间件可以根据其作用范围分为两种类型：全局中间件和局部中间件。

全局中间件：适用于所有路由。你可以通过 app.use() 来注册全局中间件，它会拦截所有的请求，无论 URL 是什么。
```
app.use((req, res, next) => {
console.log('这是全局中间件，适用于所有路由');
next();
});
```

局部中间件：只适用于特定的路由。你可以通过在路由定义时传入中间件来实现局部中间件。

app.get('/users', (req, res, next) => {
console.log('这是局部中间件，只适用于 /users 路由');
next();
}, (req, res) => {
res.send('用户列表');
});

错误处理中间件

除了普通的中间件，Express 还支持错误处理中间件。错误处理中间件有四个参数：err、req、res 和 next。当某个中间件或路由处理器抛出错误时，Express 会自动将控制权交给错误处理中间件。

app.use((err, req, res, next) => {
  console.error(err.stack);
  res.status(500).send('服务器内部错误');
});

在这个例子中，如果任何中间件或路由处理器抛出了错误，Express 会调用这个错误处理中间件，捕获错误并返回一个 500 状态码的响应。

请求验证的重要性

在构建 web 应用时，请求验证是至关重要的。想象一下，如果你不验证用户的输入，可能会遇到以下问题：

SQL 注入攻击：用户可以通过构造恶意 SQL 查询来获取敏感数据或破坏数据库。
XSS 攻击：用户可以通过注入恶意脚本来窃取其他用户的 Cookie 或执行其他恶意操作。
CSRF 攻击：攻击者可以伪造用户的请求，执行未经授权的操作。
无效数据：用户可能会提交不符合预期的数据格式，导致应用崩溃或行为异常。

为了避免这些问题，我们需要在请求到达核心逻辑之前，对其进行严格的验证。通过使用中间件，我们可以轻松地实现这一点。

验证的基本原则

在设计请求验证逻辑时，我们应该遵循以下几个基本原则：

尽早验证：尽可能早地验证请求，避免无效请求进入核心逻辑。
明确规则：为每个字段定义明确的验证规则，确保输入数据符合预期。
友好提示：当验证失败时，提供清晰的错误信息，帮助用户理解问题所在。
安全性优先：不仅要验证数据的格式，还要考虑潜在的安全风险，如 SQL 注入、XSS 等。

常见的验证场景

在实际开发中，我们经常会遇到以下几种验证场景：

身份验证：确保用户已登录或拥有足够的权限访问某个资源。
数据格式验证：检查请求中的数据是否符合预期格式，如电子邮件地址、电话号码等。
文件上传验证：确保上传的文件类型和大小在允许范围内。
速率限制：防止用户在短时间内发送过多请求，避免滥用 API。

接下来，我们将详细介绍如何使用中间件来实现这些验证场景。

使用中间件实现身份验证

身份验证是请求验证中最常见也是最重要的部分之一。通过身份验证，我们可以确保只有经过授权的用户才能访问某些敏感资源。在 Node.js 中，我们可以使用中间件来实现身份验证逻辑。

JWT（JSON Web Token）简介

JWT 是一种常用的令牌机制，广泛应用于身份验证。它是一种基于 JSON 的开放标准（RFC 7519），用于在网络应用之间安全地传输信息。JWT 由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

头部：包含令牌的类型（通常是 JWT）和所使用的加密算法（如 HS256）。
载荷：包含用户信息或其他需要传递的数据。注意，载荷中的数据是未加密的，因此不应包含敏感信息。
签名：用于验证令牌的完整性和真实性。签名是由头部、载荷和密钥生成的。

当你创建一个 JWT 时，服务器会将用户信息编码到载荷中，并使用密钥生成签名。客户端在每次请求时，将 JWT 作为 Authorization 头的一部分发送给服务器。服务器接收到请求后，会验证 JWT 的签名，确保它是由合法的服务器签发的。

实现 JWT 身份验证中间件

为了实现 JWT 身份验证，我们可以编写一个简单的中间件。这个中间件会在每次请求时检查 Authorization 头，提取并验证 JWT。如果验证成功，它会将用户信息附加到 req.user 上，以便后续的路由处理器使用；如果验证失败，则返回 401 状态码。

const jwt = require('jsonwebtoken');

// 定义 JWT 密钥
const JWT_SECRET = 'your-secret-key';

// JWT 身份验证中间件
const authenticateJWT = (req, res, next) => {
  const token = req.header('Authorization')?.replace('Bearer ', '');

  if (!token) {
    return res.status(401).send('未提供有效的令牌');
  }

  try {
    const decoded = jwt.verify(token, JWT_SECRET);
    req.user = decoded; // 将用户信息附加到 req 对象上
    next();
  } catch (err) {
    return res.status(403).send('无效的令牌');
  }
};

// 使用中间件保护路由
app.get('/protected', authenticateJWT, (req, res) => {
  res.send(`欢迎回来，${req.user.name}`);
});

在这个例子中，authenticateJWT 中间件会在每次请求 /protected 路由时执行。它会检查 Authorization 头中的 JWT，验证其有效性，并将解码后的用户信息附加到 req.user 上。如果验证失败，它会返回 401 或 403 状态码。

生成 JWT

为了让客户端能够获取 JWT，我们需要提供一个登录接口。在这个接口中，用户可以通过提供用户名和密码来换取 JWT。我们可以使用 jsonwebtoken 模块来生成 JWT。

app.post('/login', (req, res) => {
  const { username, password } = req.body;

  // 模拟用户验证逻辑
  if (username === 'admin' && password === 'password') {
    const user = { id: 1, name: 'Admin' };
    const token = jwt.sign(user, JWT_SECRET, { expiresIn: '1h' }); // 令牌有效期为 1 小时
    res.json({ token });
  } else {
    res.status(401).send('用户名或密码错误');
  }
});

在这个例子中，/login 接口会验证用户的用户名和密码。如果验证成功，它会生成一个 JWT 并将其返回给客户端。客户端可以在后续请求中将这个 JWT 作为 Authorization 头的一部分发送给服务器。

数据格式验证

除了身份验证，数据格式验证也是请求验证中的重要一环。通过验证请求中的数据格式，我们可以确保用户提交的数据符合预期，避免因无效数据导致的应用崩溃或行为异常。

使用 `express-validator` 模块

express-validator 是一个非常流行的验证库，专门用于 Express.js 应用。它提供了丰富的验证规则和错误处理功能，可以帮助我们轻松地实现数据格式验证。

首先，我们需要安装 express-validator 模块：

npm install express-validator

然后，我们可以在路由中使用 check 和 validationResult 方法来定义验证规则并处理验证结果。

const { check, validationResult } = require('express-validator');

// 定义验证规则
app.post('/register', [
  check('name').notEmpty().withMessage('姓名不能为空'),
  check('email').isEmail().withMessage('请输入有效的电子邮件地址'),
  check('password').isLength({ min: 6 }).withMessage('密码长度必须至少为 6 个字符')
], (req, res) => {
  // 获取验证结果
  const errors = validationResult(req);

  if (!errors.isEmpty()) {
    return res.status(400).json({ errors: errors.array() });
  }

  // 如果验证通过，处理注册逻辑
  res.send('注册成功');
});

在这个例子中，我们使用 check 方法定义了三个验证规则：

name 字段不能为空。
email 字段必须是有效的电子邮件地址。
password 字段的长度必须至少为 6 个字符。

然后，我们使用 validationResult 方法获取验证结果。如果验证失败，它会返回 400 状态码和详细的错误信息；如果验证通过，它会继续执行注册逻辑。

自定义验证规则

除了使用内置的验证规则，express-validator 还允许我们定义自定义验证规则。例如，我们可以编写一个函数来验证用户提供的年龄是否在合理范围内。

const { body, validationResult } = require('express-validator');

// 自定义验证规则
function isAgeValid(value) {
  const age = parseInt(value, 10);
  if (isNaN(age) || age < 18 || age > 120) {
    throw new Error('年龄必须在 18 到 120 之间');
  }
  return value;
}

app.post('/user', [
  body('age').custom(isAgeValid)
], (req, res) => {
  const errors = validationResult(req);

  if (!errors.isEmpty()) {
    return res.status(400).json({ errors: errors.array() });
  }

  res.send('用户信息有效');
});

在这个例子中，我们定义了一个名为 isAgeValid 的自定义验证函数。它会检查用户提供的年龄是否在 18 到 120 之间。如果验证失败，它会抛出一个错误，express-validator 会自动捕获并返回错误信息。

文件上传验证

在许多应用中，用户可能会上传文件（如图片、文档等）。为了确保上传的文件是安全的，我们需要对文件进行验证。例如，我们可以限制文件的类型、大小和扩展名。

使用 `multer` 模块

multer 是一个用于处理 multipart/form-data 编码的中间件，常用于处理文件上传。它可以帮助我们轻松地保存上传的文件，并提供了一些配置选项来限制文件的大小和类型。

首先，我们需要安装 multer 模块：

npm install multer

然后，我们可以使用 multer 来处理文件上传，并添加一些验证逻辑。

const multer = require('multer');

// 配置存储路径和文件名
const storage = multer.diskStorage({
  destination: function (req, file, cb) {
    cb(null, 'uploads/');
  },
  filename: function (req, file, cb) {
    cb(null, Date.now() + '-' + file.originalname);
  }
});

// 限制文件类型和大小
const upload = multer({
  storage: storage,
  fileFilter: function (req, file, cb) {
    const allowedTypes = ['image/jpeg', 'image/png'];
    if (allowedTypes.includes(file.mimetype)) {
      cb(null, true);
    } else {
      cb(new Error('只允许上传 JPEG 或 PNG 图片'));
    }
  },
  limits: {
    fileSize: 1024 * 1024 * 5 // 限制文件大小为 5MB
  }
}).single('avatar'); // 只允许上传一个名为 'avatar' 的文件

app.post('/upload', (req, res) => {
  upload(req, res, (err) => {
    if (err) {
      return res.status(400).send(err.message);
    }

    res.send('文件上传成功');
  });
});

在这个例子中，我们使用 multer 来处理文件上传，并添加了以下验证逻辑：

文件类型：只允许上传 JPEG 或 PNG 图片。
文件大小：限制文件大小为 5MB。
文件名：将文件保存到 uploads/ 目录下，并为每个文件生成唯一的名称。

如果上传的文件不符合这些条件，multer 会自动返回错误信息。

速率限制

速率限制（Rate Limiting）是一种防止用户在短时间内发送过多请求的技术。它可以有效防止恶意攻击（如 DDoS 攻击）或滥用 API。通过速率限制，我们可以限制每个 IP 地址或用户在一定时间内的请求数量。

使用 `express-rate-limit` 模块

express-rate-limit 是一个非常流行的速率限制中间件，可以帮助我们轻松地实现速率限制功能。

首先，我们需要安装 express-rate-limit 模块：

npm install express-rate-limit

然后，我们可以使用 rateLimit 函数来配置速率限制规则。

const rateLimit = require('express-rate-limit');

// 配置速率限制规则
const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 分钟
  max: 100, // 每个 IP 地址最多允许 100 次请求
  message: '您发送的请求过于频繁，请稍后再试'
});

// 应用速率限制中间件
app.use(limiter);

app.get('/api', (req, res) => {
  res.send('API 响应');
});

在这个例子中，我们配置了一个速率限制规则：每个 IP 地址在 15 分钟内最多允许发送 100 次请求。如果某个 IP 地址超过了这个限制，它会收到一条错误消息：“您发送的请求过于频繁，请稍后再试”。

个性化速率限制

除了基于 IP 地址的速率限制，我们还可以根据用户的登录状态或其他条件来实现个性化的速率限制。例如，我们可以为已登录的用户提供更高的请求配额，而对未登录的用户施加更严格的限制。

const rateLimit = require('express-rate-limit');

// 为已登录用户配置更高的请求配额
const authenticatedLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,
  max: 200,
  message: '您发送的请求过于频繁，请稍后再试'
});

// 为未登录用户配置更低的请求配额
const unauthenticatedLimiter = rateLimit({
  windowMs: 15 * 60 * 1000,
  max: 50,
  message: '您发送的请求过于频繁，请稍后再试'
});

// 根据用户状态应用不同的速率限制
app.use((req, res, next) => {
  if (req.isAuthenticated()) {
    authenticatedLimiter(req, res, next);
  } else {
    unauthenticatedLimiter(req, res, next);
  }
});

在这个例子中，我们为已登录用户和未登录用户分别配置了不同的速率限制规则。通过这种方式，我们可以为不同类型的用户提供个性化的速率限制。

总结与最佳实践

通过今天的讲座，我们学习了如何在 Node.js 中使用中间件实现请求验证。我们探讨了中间件的基本概念和工作原理，并详细介绍了如何使用中间件来实现身份验证、数据格式验证、文件上传验证和速率限制。希望这些内容能帮助你更好地理解和应用中间件，提升你的 web 应用的安全性和稳定性。

最佳实践总结

尽早验证：尽可能早地验证请求，避免无效请求进入核心逻辑。
明确规则：为每个字段定义明确的验证规则，确保输入数据符合预期。
友好提示：当验证失败时，提供清晰的错误信息，帮助用户理解问题所在。
安全性优先：不仅要验证数据的格式，还要考虑潜在的安全风险，如 SQL 注入、XSS 等。
个性化速率限制：根据用户的状态或角色，应用不同的速率限制规则，提升用户体验。

下一步

如果你对中间件和请求验证有了更深的理解，不妨尝试在自己的项目中应用这些技术。你可以从简单的身份验证开始，逐步引入更多的验证逻辑，确保你的应用更加安全和可靠。当然，如果你有任何问题或想法，欢迎随时与我交流！😊

感谢大家的聆听，祝你们 coding 快乐！🎉