npm 包 cansecurity 使用教程-JavaScript中文网-JavaScript教程资源分享门户

可以说，安全是任何项目中必须考虑的实际问题之一。在前端应用程序中，我们需要确保用户隐私和安全受到保护。传统的 web 应用程序安全解决方案可能会过于复杂，因此我们需要一个简单且易于配置的 npm 包来保护我们的应用程序。那么，今天我们就来介绍一个 npm 包 cansecurity，它是一个轻量级的安全管理库，可用于包括保护路由，简化路由到权限的映射以及防止 CSRF 攻击。

安装 Cansecurity

在开始使用 Cansecurity 之前，您需要确保您已经安装了 Node.js 和 npm。安装 npm 包 cansecurity 很容易，只需在命令行中运行以下命令：

npm install cansecurity

安装完成后，您就可以在自己的项目中使用 cansecurity 包了。

配置 Cansecurity

Cansecurity 的配置很简单。它主要是基于策略来进行授权，该策略由以下两部分组成:

角色将添加到策略属性 (policy 属性) 中
在路由属性 (route 属性) 中对路由进行保护

在以下示例中，policy 中包含一个名为 "user" 的角色，该角色有权访问 URL 映射中的 "this.routeId".

-- -------------------- ---- -------
----- ------ - -----------------------
-------------
  --------- -
    ------- -
      --------------- -
        ------- ----
      -
    -
  --
  -------- -
    ----------------- -
      ----------- --------
    -
  -
--

在上面的示例中，您需要将 "this.routeId" 替换为用来保护的路由 ID，将 "this.routePath" 替换为您的路由路径。

最后，在 express 路由中添加保护路由，如下所示:

-- -------------------- ---- -------
----- ------- - -------------------
----- ------ - -----------------------
----- --- - ----------

------------ ----- ---- -- -
  --------------- ---------
---

--------------------- --------- ----- ---- -- -
  ----------------- -- --------- --------
---

---------------- -- -- -
  -------------------- --- --------- -- ---- --------
---

注意: 只需要在要保护的路由中添加 cansec ()。

CSRF 攻击预防

Cansecurity 也支持防止 CSRF 攻击。为此，需要使用 cansecurity-express-csrf 包。

npm install cansecurity-express-csrf

在您的 Express 应用程序中，使用 token 令牌以及 cansec() 中间件来保护任何 POST、PUT 或 DELETE 请求。

const csrf = require('cansecurity-express-csrf');
app.use(csrf({ ignoreMethods: [] });

在上述代码中，ignoreMethods 参数用于用于忽略 CSRF 防范的请求方式（例如 GET 请求）

结论

Cansecurity 通过使用授权策略和路由映射，提供了一种轻量级的解决方案，用于保护我们的前端应用程序。它不仅易于配置，而且具有防止 CSRF 攻击的功能。因此，当您切换到前端应用程序开发时，请考虑使用 cansecurity 包来增加您应用程序的安全性。

完整示例:

-- -------------------- ---- -------
----- ------- - -------------------
----- ------ - -----------------------
----- ---- - ------------------------------------

----- --- - ----------

-------------
  --------- -
    ------- -
      --------------- -
        ------- ----
      -
    -
  --
  -------- -
    ----------------- -
      ----------- --------
    -
  -
--

-------------- -------------- -- ---

------------ ----- ---- -- -
  --------------- ---------
---

--------------------- --------- ----- ---- -- -
  ----------------- -- --------- --------
---

---------------- -- -- -
  -------------------- --- --------- -- ---- --------
---

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/60066c92ccdc64669dde5a96