Deno与Secure TypeScript:安全的后端开发

于 2024-10-06 10:15:42 发布
阅读量707 收藏 14
点赞数 7
分类专栏: Web大前端 # Javascript 文章标签: typescript 安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A1215383843/article/details/142723862
版权

文章目录


Deno 是一个现代的后端 JavaScript/TypeScript 运行时,由 Node.js 的创始人 Ryan Dahl 创建。Deno 提供了许多内置的安全特性,使得后端开发更加安全可靠。

Deno 简介

特点

  • 安全性:默认情况下禁用文件系统访问、网络访问等权限,必须显式授予。
  • 模块化:支持 ES 模块语法,无需额外的模块加载器。
  • 内置工具:提供了许多内置工具,如 HTTP 服务器、WebSocket 服务器等。
  • 跨平台:支持 Windows、macOS 和 Linux。

TypeScript 简介

  • 类型安全:提供强类型检查,避免运行时错误。
  • 静态类型检查:在编译阶段发现类型错误,提高代码质量。
  • 工具支持:丰富的 IDE 和编辑器支持,提高开发效率。

安全性基础

权限管理

  • Deno 默认禁用所有权限,必须显式授予。
  • 权限包括文件系统访问、网络访问、环境变量访问等。

代码隔离

  • 每个模块都在沙箱环境中运行,防止恶意代码影响全局。

Deno 安装与基本使用

安装 Deno

curl -fsSL https://deno.land/x/install/install.sh | sh
deno --version

创建项目

mkdir my-deno-app
cd my-deno-app

编写基本代码

// main.ts
console.log("Hello, Deno!");

运行代码

deno run main.ts

权限管理

默认权限

默认情况下,Deno 不允许任何权限。

deno run --allow-read main.ts

显式授予权限

授予读权限。

deno run --allow-read main.ts

权限组合

授予读和写权限。

deno run --allow-read --allow-write main.ts

HTTP 服务器

创建 HTTP 服务器

// server.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";

const handler = (req: Request) => {
  if (req.method === "GET") {
    return new Response("Hello, World!");
  }
  return new Response("Method not allowed", { status: 405 });
};

serve(handler);

运行 HTTP 服务器

deno run --allow-net server.ts

访问服务器

curl http://localhost:8000

安全的 HTTP 请求

发送 HTTP 请求

// request.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { fetch } from "https://deno.land/std@0.188.0/fetch/mod.ts";

const handler = async (req: Request) => {
  const response = await fetch("https://api.example.com/data");
  const data = await response.json();
  return new Response(JSON.stringify(data), { headers: { "Content-Type": "application/json" } });
};

serve(handler);

运行请求处理程序

deno run --allow-net request.ts

访问请求处理程序

curl http://localhost:8000

数据验证与类型安全

数据验证

// validator.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { z } from "https://deno.land/x/zod@v3.21.4/mod.ts";

interface User {
  id: number;
  name: string;
  email: string;
}

const userSchema = z.object({
  id: z.number(),
  name: z.string().min(1),
  email: z.string().email(),
});

const handler = async (req: Request) => {
  const url = new URL(req.url);
  const params = Object.fromEntries(url.searchParams.entries());
  const result = userSchema.safeParse(params);

  if (!result.success) {
    return new Response(result.error.message, { status: 400 });
  }

  const user: User = result.data;
  return new Response(JSON.stringify(user), { headers: { "Content-Type": "application/json" } });
};

serve(handler);

运行验证处理程序

deno run --allow-net validator.ts

访问验证处理程序

curl "http://localhost:8000?id=1&name=John&email=john@example.com"

安全的数据库操作

连接数据库

// database.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { sql } from "https://deno.land/x/sqlite@v3.4.2/mod.ts";

const db = sql.open(":memory:");

const createTable = `
  CREATE TABLE IF NOT EXISTS users (
    id INTEGER PRIMARY KEY AUTOINCREMENT,
    name TEXT NOT NULL,
    email TEXT NOT NULL UNIQUE
  );
`;

db.query(createTable);

const insertUser = `
  INSERT INTO users (name, email) VALUES (?, ?);
`;

const selectUsers = `
  SELECT * FROM users;
`;

const handler = async (req: Request) => {
  const url = new URL(req.url);
  const name = url.searchParams.get("name");
  const email = url.searchParams.get("email");

  if (!name || !email) {
    return new Response("Missing parameters", { status: 400 });
  }

  try {
    db.query(insertUser, [name, email]);
    const users = db.query(selectUsers).fetchAll();
    return new Response(JSON.stringify(users), { headers: { "Content-Type": "application/json" } });
  } catch (error) {
    return new Response(error.message, { status: 500 });
  }
};

serve(handler);

运行数据库处理程序

deno run --allow-net --allow-read --allow-write database.ts

访问数据库处理程序

curl "http://localhost:8000?name=John&email=john@example.com"

日志与错误处理

日志记录

// logger.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { format } from "https://deno.land/std@0.188.0/datetime/mod.ts";

const handler = async (req: Request) => {
  const now = format(new Date(), "yyyy-MM-dd HH:mm:ss");
  console.log(`${now} - ${req.method} - ${req.url}`);

  return new Response("OK");
};

serve(handler);

错误处理

// error-handler.ts
import { serve } from "https://deno.land/std@0.188.0/http/server.ts";

const handler = async (req: Request) => {
  try {
    // Perform some operation
    return new Response("OK");
  } catch (error) {
    console.error(error);
    return new Response(error.message, { status: 500 });
  }
};

serve(handler);

安全的最佳实践

最小权限原则

只授予必要的权限。

deno run --allow-net --allow-read main.ts

输入验证

对所有外部输入进行严格验证。

const userSchema = z.object({
  id: z.number(),
  name: z.string().min(1),
  email: z.string().email(),
});

加密敏感数据

对敏感数据进行加密处理。

import { crypto } from "https://deno.land/std@0.188.0/crypto/mod.ts";

const secret = crypto.randomUUID();
const encryptedData = crypto.encrypt(secret, sensitiveData);

安全的数据库操作

使用参数化查询防止 SQL 注入。

const insertUser = `
  INSERT INTO users (name, email) VALUES (?, ?);
`;

db.query(insertUser, [name, email]);

安全的会话管理

使用安全的会话管理机制。

import { serve, Cookie } from "https://deno.land/std@0.188.0/http/server.ts";

const handler = async (req: Request) => {
  const sessionCookie = req.headers.get("Cookie");
  let sessionId = null;

  if (sessionCookie) {
    const cookie = new Cookie(sessionCookie);
    sessionId = cookie.get("session_id")?.value;
  }

  if (!sessionId) {
    sessionId = crypto.randomUUID();
    const cookie = new Cookie({
      name: "session_id",
      value: sessionId,
      httpOnly: true,
      secure: true,
      sameSite: "strict",
    });

    return new Response("Session created", {
      headers: { "Set-Cookie": cookie.toString() },
    });
  }

  // Perform session-related operations
  return new Response("OK");
};

serve(handler);

使用 HTTPS

确保所有通信都使用 HTTPS。

const server = serve({ port: 443, hostname: "example.com", secure: true });

CORS 策略

配置适当的 CORS 策略。

const handler = async (req: Request) => {
  const origin = req.headers.get("Origin");

  if (origin === "https://example.com") {
    return new Response("OK", {
      headers: { "Access-Control-Allow-Origin": origin },
    });
  }

  return new Response("Not allowed", { status: 403 });
};

serve(handler);

安全的文件上传

对上传文件进行严格的验证和限制。

import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { parseMultipartFormData } from "https://deno.land/std@0.188.0/mime/multipart/form_data/parser.ts";

const handler = async (req: Request) => {
  const formData = await parseMultipartFormData(req, { maxFileSize: 1024 * 1024 * 5 }); // 5MB limit

  if (!formData.has("file")) {
    return new Response("File missing", { status: 400 });
  }

  const file = formData.get("file");

  if (!file) {
    return new Response("Invalid file", { status: 400 });
  }

  const fileName = file.name;
  const fileSize = file.size;
  const fileType = file.type;

  if (fileType !== "image/jpeg" && fileType !== "image/png") {
    return new Response("Unsupported file type", { status: 400 });
  }

  // Save the file securely
  const filePath = `./uploads/${fileName}`;
  const fileStream = Deno.openSync(filePath, { write: true, create: true });
  await fileStream.write(file.data);
  fileStream.close();

  return new Response("File uploaded successfully");
};

serve(handler);

安全的环境变量管理

使用环境变量存储敏感信息。

const apiKey = Deno.env.get("API_KEY");
const apiSecret = Deno.env.get("API_SECRET");

定期审计与更新

定期进行安全审计,并及时更新依赖库。

deno upgrade

安全的认证与授权

JWT认证

使用 JWT 进行用户认证。

import { serve } from "https://deno.land/std@0.188.0/http/server.ts";
import { jwt } from "https://deno.land/x/djwt@v2.2/mod.ts";

const secret = Deno.env.get("JWT_SECRET");

const handler = async (req: Request) => {
  const authHeader = req.headers.get("Authorization");

  if (!authHeader || !authHeader.startsWith("Bearer ")) {
    return new Response("Unauthorized", { status: 401 });
  }

  const token = authHeader.slice(7); // Remove "Bearer " prefix

  try {
    const decodedToken = await jwt.decode(token, { secret });
    return new Response("Authenticated");
  } catch (error) {
    return new Response("Invalid token", { status: 401 });
  }
};

serve(handler);

角色与权限

使用角色和权限进行细粒度控制。

const userRoles = {
  admin: ["read", "write", "delete"],
  user: ["read"],
};

const handler = async (req: Request) => {
  const authHeader = req.headers.get("Authorization");
  const token = authHeader.slice(7); // Remove "Bearer " prefix
  const decodedToken = await jwt.decode(token, { secret });

  const role = decodedToken.role;
  const permissions = userRoles[role];

  if (!permissions.includes("write")) {
    return new Response("Permission denied", { status: 403 });
  }

  // Perform write operation
  return new Response("Write successful");
};

serve(handler);
天涯学馆
关注
专栏目录
使用后端和前端javascript环境构建pdf文件的最有效方法
weixin_26724171的博客
10-08 1182
体验反馈(Experience Feedback) Everybody is facing the need of building PDFs somedays in its developer career.在开发人员的职业生涯中的每一天,每个人都面临着构建PDF的需求。 PDF is a very common format made by Adobe, which is optimally ...
deno-nasa:使用Deno进行后端开发
02-23
地鼻 使用Deno进行后端开发
deno使用rust_使用graphql和deno构建ssr react应用程序
weixin_26748899的博客
10-12 546
deno使用rust介绍(Introduction) Unless you have been living under a rock, I am sure you have been hearing all the hype on Deno and/or GraphQL in the past few years. If you are intrigued by these technologi...
Deno 如何偿还 Node.js 的十大技术债?
nostrud ipsum6
03-21 242
本文转载自京程一灯公众号。\n“Node现在太难用了!”。Node.js之父 Ryan Dahl 去年初要开发一款 JavaScript 互动式数据分析工具时,忍不住抱怨起自己十年前一手创造的技术。\nRyan Dahl 想要设计出一款类似 IPython 的互动式数据科学分析命令行工具,但改用 JavaScript 语言,要让 JavaScript 也可以像 Python 那样,进行各式各样的数...
Deno + Oak 构建酷炫的 Todo API
YunWisdom
07-22 664
Deno + Oak 构建酷炫的 Todo API 序言 我是一位 JavaScript/Node 开发者,默默地喜欢甚至爱慕着 DenoDeno 诞生之初就深深地吸引了我,此后我成为了 Deno 的忠实粉丝,期待着有朝一日能正式玩上 Deno。 本文专注于创造一个基于 REST API 设计的待做清单(Todo)应用。请记住本文中还不会涉及有关数据库操作的知识,其内容会在我之后的另一篇文章中进行详细介绍。 如果你想能够随时回顾或参考本文的代码,可以访问我的这个仓库:@adeel...
node deno_如何在Deno和Oak中创建Todo API
cumian8165的博客
08-19 444
node denoI am a JavaScript/Node developer who secretly likes (actually, loves and adores) Deno. I have been a huge fan of Deno ever since it was announced and I've been wanting to play with it. 我是一个J...
deno.js_Deno vs. Node.js —主要区别
weixin_26750481的博客
09-08 754
deno.jsShould I learn Deno? What's the main benefit of using Deno over Node? 我应该学习Deno吗? 在节点上使用Deno的主要好处是什么? After reading this story you'll know key principles of how Deno works, who is behind it, a...
deno 如何偿还 node.js 的十大技术债
weixin_34102807的博客
03-21 134
根据网络资料整理 “Node现在太难用了!”。Node.js之父 Ryan Dahl 去年初要开发一款 JavaScript 互动式数据分析工具时,忍不住抱怨起自己十年前一手创造的技术。 Ryan Dahl 想要设计出一款类似 IPython 的互动式数据科学分析命令行工具,但改用 JavaScript 语言,要让 JavaScript 也可以像 Python 那样,进行各式各样的数据分析、统...
deno_registry2:deno.landx服务的后端
05-02
这是deno.land/x服务的后端。 限度 发布模块时,应遵循一些准则/规则: 请仅注册您将实际使用的模块名称。 不要蹲名字。 如果您这样做,我们可能会将名称转移给可以更好地使用它的人。 请勿注册包含您不拥有的...
postgres-denoDeno的PostgreSQL扩展:在PostgreSQL函数和触发器中运行Typescript
02-05
【postgres-deno】是一个专为Deno设计的PostgreSQL扩展,它允许开发人员在PostgreSQL数据库中的函数和触发器中直接使用TypeScript代码。这个扩展是对于Node.js中广泛使用的`pg`模块的一个创新,旨在提供更现代、类型...
deno安全JavaScriptTypeScript运行时
02-03
Deno是使用V8并内置于Rust的JavaScriptTypeScript的简单,现代且安全的运行时。 产品特点 默认为安全。 除非明确启用,否则没有文件,网络或环境访问权限。 开箱即用地支持TypeScript。 仅发送一个可执行文件。...
Deno:JavaScriptTypeScript安全运行时-开源
04-15
默认情况下,DenoJavaScriptTypeScript安全,开放源代码运行时,它为现代程序员提供了高效且安全的脚本环境。 它作为没有依赖性的单个可执行文件分发,并同时充当运行时和程序包管理器。 它使用与浏览器兼容的...
vue3+el-tale封装(编辑、删除、查看详情按钮一起封装)
CallMe_CrabXie的博客
08-27 2021
对应的tableData和tableDataHeader文件(实际开发中,应该从后端拿tableData,tableHeader根据情况自定义)
网络安全概述:从认知到实践
l1x1n0的博客
10-04 485
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
如何安全地大规模部署 GenAI 应用程序
最新发布
网络研究观
10-06 412
将生成式人工智能融入到你的商业模式中,既会带来新的风险,也会带来新的回报。以下是如何应对这些风险。
【蚂蚁HR-注册/登录安全分析报告】
09-28 1316
蚂蚁社保是武汉微蚁企业服务有限公司旗下的网站,主要提供五险一金的代缴、补缴、社保开户、社保挂靠和社保代理服务。该平台主要覆盖一二线城市,目前已覆盖13+城市。蚂蚁社保的特点是高度自动化和在线化,创始人团队致力于通过程序和硬件替代所有可以自动化的环节,从而最大限度地减少人为错误,作为头部的社保代缴平台, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
企业间图文档发放:如何在保障安全的同时提升效率?
文件数据安全交换
09-29 761
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。《Ftrans B2B企业间文件安全交换系统》仅需通用浏览器即可使用,用户界面清晰明了,功能操作和收发流程简单便捷,可快速在企业内外部推行,实现安全的图文档发放,极大降低用户学习成本,提升终端用户满意度,为企业内外部的业务协作提供保障。
安全服务面试
m0_74402888的博客
09-28 889
内网的计算机可向 Internet 上的其他计算机发送连接请求,但 Internet 上其他。个列表中的 IP 进行 SYN+ACK 的重试。明白这种攻击的基本原理,还是要从 TCP 连接建立的过程开始说起:大家都知道,TCP 与。的 IP 地址,如果攻击者以数万/秒的速度发送 SYN 报文,同时利用 SOCK_RAW。Internet 上的计算机,但 Internet 上的计算机无法访问局域网内的计算机。内网的计算机以 NAT(网络地址转换)协议,通过一个公共的网关访问 Internet。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天涯学馆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值