---
# System prepended metadata
title: Express
tags: [Nodejs]
---
# Express
###### tags: `Nodejs`
Express是基於nodejs寫的一個框架,它將很多功能都包裝得更好用、大幅增加了開發速度
## API
API可以被當成是一個程式之間溝通的媒介,例如要使用node下的fs或http等功能就要透過node API來進行操作、操作DOM元素也是要透過javascript的DOM API來進行操作
## RESTfulAPI
### 設計標準
1. 將API以資源方式區分
例如跟tours相關的資料就放在tours裡
2. 以資源命名的url
3. 以http method來區分不同用法
例如我addTours的功能和deleteTours的功能都在/tours的路徑
用post方法訪問/tours時就會觸發addTours
用delete方法訪問/tours時就會觸發deleteTours
4. 以JSend形式傳送資料
一般的JSON長這樣
建議傳送出去前先處理成這樣再傳(JSend),將資料包在data物件中並帶有一個狀態碼,收資料的一方會比較好處裡
```javascript=
// 大概就像這樣包一下再傳
const tours = JSON.parse(fs.readFileSync(`${__dirname}/dev-data/data/tours-simple.json`))
app.get('/api/v1/tours', (req, res) => {
res.status(200).json({
status: 'success',
data: tours
})
})
```
5. Stateless
狀態部分一律在client端處理(目前頁數、登入狀態),後端只負責送資料,不需要去記錄狀態
可以將不必要負荷分給client端
以翻頁為例
### 路由配置
express可以依照http method來配置路由
1. 簡單配置
```javascript=
const express = require('express')
cosnt app = express()
//get
app.get('/', (req, res) => {
//.......... do something
})
// post
app.post('/', (req, res) => {
//.......... do something
})
// others.....
```
2. 進階配置
```javascript=
app
.route('/api/v1/tours')
.get(getAllTours)
.post(addTour)
app
.route('/api/v1/tours/:id')
.get(getTour)
.patch(updateTour)
.delete(deleteTour)
```
3. 進階配置(整理版)
```javascript=
const tourRouter = express.Router()
app.use('/api/v1/tours', tourRouter) // 取出根路徑另外存到變數裡
tourRouter // 使用該變數就能使用訪問該route
.route('/') // 訪問根路徑/api/v1/tours
.get(getAllTours) // 對應路徑功能
.post(addTour)
tourRouter
.route('/:id') // 訪問/api/v1/tours/:id路徑
.get(getTour)
.patch(updateTour)
.delete(deleteTour)
```
4. 對不存在的route做處理
```javascript=
// **other route methods**
// 不存在的處理要放在最後
app.all('*', (req, res) => {
res.status(404).json({
state: 'failed',
message: `route ${req.originalUrl} doesn't exist`
})
})
```
### 路由參數
```javascript=
app.get('/api/v1/tours/:id/:x?', (req, res) => { // 後面補一個?代表選填 這裡的x代表選填參數
console.log(req.params) // 取得路由參數
res.status(200).json({
status: 'success',
data: tours[req.params.id]
})
})
```
## Middleware
### 簡介
[官網middleware頁面](https://expressjs.com/en/resources/middleware.html)
request和response物件在server端做處理的一連串過程中會經過的關卡(例如驗證使用者、body parser之類的功能等)就叫做middleware,middleware的執行順序就是看他們在code中的順序決定,需透過next()前往下一個步驟,千萬別忘記next(),如果沒有next()會把整個程式卡在middleware
### 實際演練
1. 自定義middleware
通常會透過app.use()來使用middleware
例如很熟悉的body parser功能
```javascript=
const express = require('express')
const app = express()
app.use(express.json()) // 使用express.json()這個middleware (body parser)
app.use((req, res, next) => { // middleware的寫法示範
console.log('my middleware')
next()
})
app.use((req, res, next) => {
req.requestTime = new Date().toISOString() // 加上時間並轉成好看的格式
console.log(req.requestTime)
next()
})
```
2. 3-rd party middleware
使用npm安裝完第三方套件並引入就能使用了
以morgan這個middleware套件為例
```javascript=
const express = require('express')
const morgan = require('morgan')
const app = express()
app.use(morgan('dev'))
```
3. param middleware
在一些需要用ID找資料的行為中,會需要先驗證ID是否存在,這時候可能會寫這樣
```javascript=
const getTour = (req, res) => {
if (req.params.id > tours.length) {
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
// do something
}
router
.route('/:id').get(getTour)
```
但在很多操作都要驗證ID時還這樣寫的話就會變這樣
每個動作都有一個重複的檢查程式碼
這樣非常不好維護
```javascript=
const getTour = (req, res) => {
if (req.params.id > tours.length) {
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
// do something
}
const addTour = (req, res) => {
if (req.params.id > tours.length) {
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
// do something
}
const updateTour = (req, res) => {
if (req.params.id > tours.length) {
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
// do something
}
const deletTour = (req, res) => {
if (req.params.id > tours.length) {
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
// do something
}
router
.route('/:id')
.get(getTour)
.post(addTour)
.update(updateTour)
.delete(deletTour)
```
這時候router.param()就能派上用場了
這個用法可以傳入參數及middleware來使用
```javascript=
const checkID = (req,res,next,val) => {
if (val > tours.length) { // val會自動代入傳入的參數,也就是param的第一個參數(這裡為'id')
return res.status(404).json({
status: 'failed',
data: 'invalid ID'
})
}
next()
}
router.param('id', checkID) // 這樣每個需要透過id訪問的route都會先經過checkID的檢查
router
.route('/:id')
.get(getTour)
.post(addTour)
.update(updateTour)
.delete(deletTour)
```
4. 特定方法middleware
如果需要在post加一個只給他用的middleware就這樣加
通常用於新增內容的驗證
```javascript=
router
.route('/:id')
.get(getTour)
.post(middleware, addTour) // 使用addTour前會先經過middleware
```
### 訪問靜態檔案
```javascript=
app.use(express.static('路徑'))
// 用根路徑/該路徑下的檔名就能訪問該路徑的檔案
// 例如public底下有overview.html檔
app.use(express.static(`${__dirname}/public`))
// 之後用127.0.0.1:8000/overview.html就能看到該html頁
```
## 環境變數
Windows環境先安裝這個套件可以更方便地使用環境變數
```
npm install -g win-node-env
```
開發環境和使用者使用的環境會有所不同,開發者會用到很多使用者用不到的功能,而環境變數就是拿來區隔不同環境用的,例如使用者和開發者會連接到不同的資料庫、使用者和開發者會用不同的路徑抓資料
先將環境變數定義在config.env檔案中
要使用環境變數有兩個簡單步驟
1. npm i dotenv
2. 引入該套件
```javascript=
// server.js
const dotenv = require('dotenv')
dotenv.config({path: './config.env'}) // config.env的路徑
console.log(process.env) // 能看到在config.env中定義的資料被存進去了
```
### 使用環境變數的值
```javascript=
const port = process.env.PORT || 3000
app.listen(port, '127.0.0.1', () => {
console.log(`listening to http://127.0.0.1:${port}/`)
})
```
### 特定環境使用
```javascript=
if(process.env.NODE_ENV === 'development'){ // 只有在 development環境下用這個middleware
app.use(morgan('dev'))
}
```
### npm script啟用特定環境
```
"scripts": {
"start": "nodemon server.js", // 預設為啟用development模式
"prod": "NODE_ENV=production nodemon server.js" // 啟用production模式
}
```
使用windows要先安裝開頭題到的套件才能直接在npm script設定NODE_ENV=XXX
## MVC架構
MVC就是Model、View、Controller的縮寫
1. Model: 掌管資料及業務邏輯(Business logic)
2. View: 視圖層(例如app的介面、網頁頁面)
3. Controller: 處理與Model互動的request並送response給client
### 運作模式
1. client端送request通過router觸發特定的controller方法
2. controller依方法跟model要資料
3. 要到資料後送給view
4. view將資料填入網頁模板
5. view將填好的網頁送給controller
6. controller發送將網頁response回client
#### Controller(Application logic)
#### Model(Business logic)
#### 設計要點: Fat model thin controller
盡量將複雜的邏輯放在Model,讓controller可以擔任好橋樑的角色
## 錯誤處理
程式的錯誤通常分為
1. 作業錯誤Operational error:
作業程序上的錯誤,通常指route錯誤、輸入資料錯誤、伺服器連接失敗、連接超時等可以被預料到的錯誤
2. 程式錯誤Programming error:
程式碼上的錯誤,這類比較偏向程式碼沒寫好導致的錯誤,例如常見的read property of undefined、錯誤資料類型、傳錯參數等程式碼上的錯誤
錯誤處理要處理的錯誤都是Operational error類型的,因為這方面的錯誤通常可以因client端達成正確行為而被改善,在express中可以透過一個middleware來處理所有這方面的錯誤並送response回去通知使用者出錯原因,透過獨立的middleware可以讓錯誤處理獨立出來不影響到其他程式碼
### 建立錯誤處理middleware
複習一下middleware都是透過app.use()來呼叫的,而middleware是照順序執行,所以這個錯誤處理middleware必須放在middleware的最後一個步驟
```javascript=
// server.js
// **other middlewares**
//
app.use((err, req, res, next) => {
err.statusCode = err.statusCode || 500
err.status = err.status || 'error'
res.status(err.statusCode).json({
state: err.status,
message: err.message
})
})
```
再來測試一下
```javascript=
// 建立一個攔截為定義route的router
app.all('*', (req, res, next) => {
// 建立error物件
const error = new Error(`route ${req.originalUrl} doesn't exist`)
// (Error()內的字串就是error message)
error.statusCode = 404
error.status = 'fail'
next(error) // 帶有error的next()會自動將error帶到下一個middleware
})
```
執行結果
成功將error物件帶入middleware中response回client端
```
{
"state": "fail",
"message": "route /api/v1/toursasdasd doesn't exist"
}
```
#### 為error及error middleware建立一個獨立class
1. apiError.js
```javascript=
class ApiError extends Error {
constructor(message, statusCode) {
super(message) // 使用super以使用母class(Error)的方法
this.statusCode = statusCode
this.status = `${statusCode}`.startsWith('4') ? 'fail' : 'error'
this.isOperational = true
Error.captureStackTrace(this, this.constructor)
}
}
module.exports = ApiError
```
2. errorController.js
```javascript=
module.exports = (err, req, res, next) => {
err.statusCode = err.statusCode || 500
err.status = err.status || 'error'
res.status(err.statusCode).json({
state: err.status,
message: err.message
})
}
```
將這兩個檔案import並整合到前面的程式碼
```javascript=
const apiError = require('./utils/apiError')
const errorController = require('./controller/errorController')
app.all('*', (req, res, next) => {
next(new apiError(`route ${req.originalUrl} doesn't exist`, 404))
// 以apiError為原型建立error物件
})
app.use(errorController)
```
#### handling error in async functions
#### 加密
```
npm i bcryptjs
```
```javascript=
// userModel.js
userSchema.pre('save', async function(next){
if(!this.isModified('password'))return next()
this.password = await bcrypt.hash(this.password, 12)
next()
})
```
## 驗證
驗證是一個非常重要的步驟
### 驗證方法
由於REST的設計標準,我們需要保持一個stateless的狀態,有別於於傳統的將登入狀態存在伺服器中,這裡會介紹JWT(Json Web Token)的驗證方法,
### 驗證的運作模式
1. client端登入(將帳號密碼透過request傳給server)
2. server檢查該組帳號密碼是否符合
3. 若符合,server會回傳一組JWT給client
4. client將收到的jwt存在localstorage或cookie中
5. 訪問需要驗證的API會先經過驗證JWT的middleware進行驗證
有通過就過、沒通過就檔掉
這麼一來server是不需要儲存每個使用者個登入狀態的,只需要驗證JWT是否有效
### WHAT IS JWT AND HOW IT WORKS
[jwt官網](https://jwt.io/)
JWT是一組加密字串,主要由Header、payload、signature三個部分組成,它的產生過程稱為signing
在server驗證完使用者身分後會將使用者id(payload)、加密方法(header)以及一個密鑰(secret)產生signature,而payload + header + signature會形成JWT送到client端,當client端發送需要驗證的request時就會驗證帶進來的JWT,由於JWT是由payload + header + signature組成,這時候的JWT會被拆解成payload + header + signature的形式,而payload及header則會與server中的secret重新組合成原來的signature,若這兩個signature不相同則代表client端的JWT有被更改或失效了,無法通過驗證
### IT'S NOT A JOKE
驗證的功能非常重要,這種東西算是工程師的責任,如果用了套件功能但又因自己對該套件一知半解而導致被駭,這都是寫的人的問題,不應該去怪套件,所以必須放更多的心思在驗證功能上,這樣對大家都是好的
### 登入發送JWT
會使用到這個jwt套件
[jsonwebtoken github](https://github.com/auth0/node-jsonwebtoken)
安裝並引入後就能開始寫了
先到userModel的地方寫驗證密碼的方法
```javascript=
// userModel.js
// instance method, available for all user document
userSchema.methods.correctPassword = async function(candidatePass, userPass) {
return await bcrypt.compare(candidatePass, userPass) // 由於DB內存的密碼是加密過的,所以要用bcrypt.compare來比較輸入的密碼與資料庫內的密碼
}
```
在到驗證的controller寫後續功能
```javascript=
// authController.js
// 定義一個能利用id產生jwt的函數
const signToken = (id) => {
return jwt.sign({id}, process.env.JWT_SECRET, {expiresIn: process.env.JWT_EXPIRES_IN})
}
```
這邊在token的地方會用到jwt.sign(payload, secret, option)來產生JWT,secret的部分我存在環境變數中
這邊要提到一下secret的用法: 由於這個套件預設是使用HS256演算法來進行加密,而HS256的secret建議長度要是32以上的字串,所以可以隨便打32個字出來當作自己的secret
```javascript=
// authController.js
// 登入功能
exports.logIn = catchAsync(async(req, res, next) => {
const {email, password} = req.body
// 1. check if email and password exist
if(!email || !password){
return next(new ApiError('please provide email or password',400))
}
// 2. check if user exist && password is correct
const user = await User.findOne({email}).select('+password')
if(!user || !await user.correctPassword(password, user.password)) { // only check password if there's a user
return next(new ApiError('invalid email or password',401))
}
// 3. send a token to client if everything is fine
const token = signToken(user._id)
res.status(200).json({
status: 'success',
token
})
})
```
登入得到的response:
```
{
"status": "success",
"token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjYwNDgxZjk5NGRhZDQ0NzVjNGUwOGZjZSIsImlhdCI6MTYxNTMzOTcwOCwiZXhwIjoxNjIzMTE1NzA4fQ.F2a2bzGkCAAjt8Ll-qMDZ8h8XcV3vIYAfs03YM0zzwU"
}
```
### 使用JWT驗證valid request
先測試一下server要如何接收client端的JWT
1. 包在request header裡
2. 包在cookie裡
寫驗證middleware
驗證middleware的大致架構如下
```javascript=
// authControll.js
exports.protect = catchAsync(async(req, res, next) => {
// 1. get token and check if it exists
// 2. token verification
// 3. check if user still exist
// 4. check if user have changed password after the token was issued
// 5. if all fine, go next
next()
})
```
1. 取得並檢查Token是否存在:
這裡先採用將token放在header內的方法
```javascript=
exports.protect = catchAsync(async(req, res, next) => {
// 1. get token and check if it exists
let token
if(req.headers.authorization && req.headers.authorization.startsWith('Bearer')) {
token = req.headers.authorization.split(' ')[1]
}
if(!token) {
next(new ApiError('not logged in',401))
}
})
```
2. 驗證token
使用node內建的promisify功能(以此呼叫的函式會以promise形式回傳)呼叫jwt的verify功能,而verify會利用存在伺服器中的secret來解析回來的token,最後在檢查解析出來的id是否有符合使用者id
```javascript=
// 2. token verification
const decoded = await promisify(jwt.verify)(token, process.env.JWT_SECRET)
console.log(decoded) // 可以看看解析後的樣子
})
```
中場測試
先登入一次把或得的token拿去jwt官網做一點改造後再用該token訪問受驗證middleware保護的route確認是否真的有在驗證
```
{
"status": "error",
"error": {
"name": "JsonWebTokenError",
"message": "invalid signature",
"statusCode": 500,
"status": "error"
},
"message": "invalid signature"
}
```
OK
3. 將步驟2解析出來的id拿去搜尋使用者
```javascript=
// 3. check if user still exist
const currentUser = await User.findById(decoded.id)
if (!currentUser){
return next(new ApiError(`User of this token doesn't exist`, 401))
}
```
4. 檢查密碼有無更改
```javascript=
// 4. check if user have changed password after the token was issued
if (currentUser.changedPasswordAfter(decoded.iat)) { // iat為該JWT創造時間
return next(new ApiError('User password changed, log in again', 401))
}
```
此步驟會在model中新增一個instance method供檢查密碼變更時間
```javascript=
// userModel.js
userSchema.methods.changedPasswordAfter = function(JWTTimestamp) {
// 變更密碼時會在document中新增一個更改的時間,若該資料存在則進行後續判斷
if(this.passwordChangedAt){
const changedTimestamp = parseInt(this.passwordChangedAt.getTime() / 1000,10)
return JWTTimestamp < changedTimestamp // 比較 JWT創立時間及密碼變更時間,若JWTTimestamp時間較小,代表在創造JWT後有改過密碼,回傳true使第4到關卡攔截成功
}
// doesn't change
return false
}
```
## 權限設定
前面做完了驗證,但這樣其實還不夠完善,很多網站或APP都會有設有管理員帳號,該帳號可執行需要高級權限的動作(例如刪除其他用戶帳號)
所以在訪問這些動作的功能中,除了驗證是否已經登入,還要再驗證權限是否符合
在這個部分會示範如何區分用戶權限及相關middleware設定
1. 在userModel加入user role
```javascript=
const userSchema = new mongoose.Schema({
// .............other things.............
role: {
type: String,
enum: ['user', 'guide', 'lead', 'admin'],
default: 'user'
},
// .............other things.............
})
```
2. 高權限帳號與普通帳號個創一個來測試
3. 到authController寫middleware
```javascript=
exports.restriction = (...roles) => {
return (req, res, next) => {
// roles is an array ['admin', 'lead-guide']
if(!roles.includes(req.user.role)){
return next(new ApiError('No permission to do this', 403))
}
next()
}
}
```
4. 到要使用的router中引入middleware
```javascript=
// .............other things.............
const { protect, restriction } = require('../controller/authController')
// .............other things.............
router
.route('/:id')
.get(tourController.getTour)
.patch(tourController.updateTour)
.delete(
protect,
restriction('admin', 'lead-guide'), // 權限middleware加在delete功能之前,
tourController.deleteTour)
```
5. 分別用普通張號與符合限制的帳號來進行刪除測試
## 重置密碼
使用網站很常用到的功能,通常會寄一封email讓你直接reset密碼
流程如下
1. 使用者對忘記密碼的連結發送含有email的request
2. 伺服器收到後對該email寄出含有reset token的信件
3. 使用者打開email中的連結到設定新密碼的地方
4. 新的密碼和reset token一起寄回server
5. server更新使用者密碼
### 會用到的套件
[nodemailer](https://nodemailer.com/about/)
[mailtrap](https://mailtrap.io/)
### 到router中定義要使用的route
```javascript=
// userRouter.js
// .............other things.............
router.post('/forgot', authController.forgotPass)
router.post('/reset', authController.resetPass)
// .............other things.............
```
### controller功能
```javascript=
// authController.js
// .............other things.............
exports.forgotPass = catchAsync(async(req, res, next) => {
// 1. get user email
const user = await User.findOne({email: req.body.email})
if(!user) return next(new ApiError(`user doesn't exist`, 404))
// 2. generate a random reset token
const resetToken = user.createResetToken()
await user.save({ validateBeforeSave: false})
// 3. send it to user
})
// .............other things.............
```
其中的createResetToken()是寫在model中的instance method
```javascript=
userSchema.methods.createResetToken = function() {
const resetToken = crypto.randomBytes(32).toString('hex')
this.passwordResetToken = crypto.createHash('sha256').update(resetToken).digest('hex')
console.log({resetToken}, this.passwordResetToken) // 查看結果
this.passwordResetExpires = Date.now() + 10 * 60 * 1000
return resetToken
}
```
### email功能
註冊好mailtrap後進入信箱開啟SMTP setting選擇nodemail
下面就會有nodemailer設定的程式碼
另外寫一個新的email.js
```javascript=
// email.js
const email = require('nodemailer')
const sendEmail = (options) => {
// 1. create a transporter
const transporter = nodemailer.createTransport({
host: process.env.EMAIL_HOST,
port: process.env.EMAIL_PORT,
auth: {
user: process.env.EMAIL_NAME,
pass: process.env.EMAIL_PASS
}
})
// 2. define the email options
const mailOptions = {
from: 'ASDFASDF sadfsdf ', // 寄件者名字
to: options.email, // 收件者email
subject: options.subject, // 信件標題
text: options.message // 信件內容
}
// 3. send email with nodemailer
await transporter.sendMail(mailOptions) // 寄出email
}
```
### email功能整合進controller
```javascript=
// authController.js
const sendEmail = require('../utils/email')
//**other things**
exports.forgotPass = catchAsync(async(req, res, next) => {
// 1. get user email
const user = await User.findOne({email: req.body.email})
if(!user) return next(new ApiError(`user doesn't exist`, 404))
// 2. generate a random reset token
const resetToken = user.createResetToken()
await user.save({ validateBeforeSave: false})
// 3. send it to user
const resetURL = `${req.protocol}://${req.get('host')}/api/v1/users/reset/${resetToken}`
const message = `forgot your password? send your new password to ${resetURL} with a patch request, if you didn't, just ignore this email`
try {
await sendEmail({
email: user.email,
subject: 'PASSWORD RESET',
message,
})
res.status(200).json({
statis: 'success',
message: 'token sent'
})
} catch (error) {
user.passwordResetToken = undefined
user.passwordResetExpires = undefined
await user.save({ validateBeforeSave: false})
return next(new ApiError('OPPS! An error occurred when sending the email', 500))
}
})
```
### 重置密碼功能
已經能夠成功寄出email了,在來就是根據我們上一步建立的函式中產生的reset token建立一個路徑,這個路徑會接收新的密碼,收到後更改對應使用者的密碼
```javascript=
exports.resetPass = catchAsync(async (req, res, next) => {
// 1. get user based on the token
const hashedToken = crypto
.createHash('sha256')
.update(req.params.token)
.digest('hex')
console.log('hashedToken ='+ hashedToken)
const user = await User.findOne({
passwordResetToken: hashedToken,
passwordResetExpires: { $gte: Date.now() }
})
// 2. if the token hasn't expired, and user exist, set new password
if(!user) return next(new ApiError('Token is invalid or has expired',400))
user.password = req.body.password
user.passwordConfirm = req.body.passwordConfirm
user.passwordResetToken = undefined
user.passwordResetExpires = undefined
await user.save() // y dont use update? cuz save() triggers all of the validation process again
// 3. update passwordChangedAt property of current user(in model middleware)
// 4. log user in, send JWT
const token = signToken(user._id)
res.status(200).json({
status: 'success',
token
})
})
```
## 修改密碼
與重置太一樣,修改密碼是在使用者已經登入的情況下修改密碼
1. 定義route
```javascript=
// userRouter.js
router.patch('/updatepass',authController.protect ,authController.updatePass)
```
2. 撰寫功能
```javascript=
exports.updatePass = catchAsync(async(req, res, next) => {
// 1. get user from collection
const user = await User.findById(req.user.id).select('+password')
// 2. check if old password is correct
if(!await user.correctPassword(req.body.oldpass, user.password)) return next(new ApiError('wrong password', 401))
// 3. update password
user.password = req.body.newpass
user.passwordConfirm = req.body.passwordConfirm
await user.save()
// 4. log user in, send JWT
createSendToken(user, 200, res)
})
```
## 修改其他資料
```javascript=
// userController.js
// filter out unwanted fields
const filterObject = (obj, ...allowFields) => {
const newObj = {}
Object.keys(obj).forEach(item => {
if(allowFields.includes(item)){
newObj[item] = obj[item]
}
})
return newObj
}
exports.updateMe = async(req, res, next) => {
// 1. create error if user posts password data
if(req.body.password || req.body.passwordConfirm) return next(new ApiError('this route is not for password update', 400))
// 2. filter unwanted fieldnames which are not allow to be updated
const filteredBody = filterObject(req.body, 'name', 'email') // only allow name and email to be updated
// 3. update user account
const updatedUser = await User.findByIdAndUpdate(req.user.id, filteredBody, {
new: true,
runValidators: true
})
res.status(200).json({
status: 'success',
data: {
user: updatedUser
}
})
}
```
## 刪除用戶
說是刪除其實只是把用戶的active狀態改成false,之後再利用query middleware在find的時候不要將active為false的資料抓出來
```javascript=
// userController.js
exports.deleteMe = catchAsync(async(req,res,next) => {
await User.findByIdAndDelete(req.user.id, {active: false})
res.status(204).json({
status: 'success',
data: null
})
})
```
```javascript=
// userModel.js
userSchema.pre(/^find/, function (next) {
this.find({ active: { $ne: false} })
next()
})
```
## Token in Cookie
將authController中的createSendToken做一些改變,讓token可以放在cookie裡傳送
```javascript=
const createSendToken = (user, statusCode, res) => {
const token = signToken(user._id)
const cookieOptions = {
expires: new Date(
Date.now() + process.env.JWT_COOKIE_EXPIRES_IN * 24 * 60 * 60 * 1000
),
secure: false, //only send in https,
httpOnly: true //
}
if(process.env.NODE_ENV==='production') cookieOptions.secure=true
res.cookie('jwt', token, cookieOptions)
res.status(statusCode).json({
state: 'success',
token,
data: {
user
}
})
}
```
之後到postman做簡單測試
看到下面有cookies代表成功了
## Spamming prevent
為了防止同一個IP快速發送重複request,會用到[express-rate-limit](https://www.npmjs.com/package/express-rate-limit)
這個功能會在全域middleware中實現
```javascript=
// app.js
const rateLimit = require('express-rate-limit')
// ***other things***
const limiter = rateLimit({
// maximum 100 request from same ip in an hour
max: 100,
windowMs: 60*60*1000,
message: 'too many request, rest for an hour'
})
app.use('/api',limiter)
// ***other things***
```
發個request試試,如果在header看到有rate limit的東西代表成功了
## Security http header
[helmet](https://www.npmjs.com/package/helmet)
```javascript=
//app.js
const helmet = require('helmet')
app.use(helmet())
// ***other things***
```
## Data sanitization
Data sanitization主要是為了防止XSS和noSQL query injection
1. noSQL query injection是在request中加入query指令
看到response了嗎?成功登入啦!
這樣也能夠登入就是noSQL query injection的威力
安裝 [express-mongo-sanitize](https://www.npmjs.com/package/express-mongo-sanitize)
```javascript=
// app.js
const mongoSanitize = require('express-mongo-sanitize')
app.use(mongoSanitize())
```
2. XSS
其實mongoose在schema能做的設定已經可以檔掉絕大部分的xss
但還是提一下
安裝[xss-clean](https://www.npmjs.com/package/xss-clean)
```javascript=
// app.js
const xss = require('xss-clean')
app.use(xss())
```
## Prevent parameter pollution
[hpp](https://www.npmjs.com/package/hpp)
```javascript=
//app.js
const hpp = require('hpp')
app.use(hpp({
whitelist: ['duration']
}))
```
## 將controller的方法以工廠函數的方式整合