Express.js 中间件：掌握可扩展应用程序的高级模式

Express.js，一个快速、非主观、极简的 Node.js Web 框架，是构建 Web 应用程序和 API 的基石。 其核心在于中间件的强大概念。 这篇博文深入探讨了高级中间件模式，为您提供知识和实践示例，以创建适用于全球受众的强大、可扩展且可维护的应用程序。 我们将探讨错误处理、身份验证、授权、速率限制以及构建现代 Web 应用程序的其他关键方面的技术。

理解中间件：基础

Express.js 中的中间件函数是可以访问请求对象 (req)、响应对象 (res) 和应用程序请求-响应周期中的下一个中间件函数的函数。 中间件函数可以执行各种任务，包括：

• 执行任何代码。
• 更改请求和响应对象。
• 结束请求-响应周期。
• 调用堆栈中的下一个中间件函数。

中间件本质上是一个管道。 每个中间件执行其特定功能，然后可以选择将控制权传递给链中的下一个中间件。 这种模块化方法促进了代码重用、关注点分离和更简洁的应用程序架构。

中间件的解剖

典型的中间件函数遵循以下结构：

function myMiddleware(req, res, next) {
  // 执行操作
  // 示例：记录请求信息
  console.log(`Request: ${req.method} ${req.url}`);

  // 调用堆栈中的下一个中间件
  next();
}

next() 函数至关重要。 它向 Express.js 发出信号，表明当前中间件已完成其工作，并且控制权应传递给下一个中间件函数。 如果未调用 next()，则请求将被阻止，并且永远不会发送响应。

中间件的类型

Express.js 提供了几种类型的中间件，每种中间件都有不同的用途：

• 应用程序级中间件：应用于所有路由或特定路由。
• 路由器级中间件：应用于在路由器实例中定义的路由。
• 错误处理中间件：专门用于处理错误。 放置在中间件堆栈中的路由定义*之后*。
• 内置中间件：由 Express.js 包含（例如，express.static 用于提供静态文件）。
• 第三方中间件：从 npm 包安装（例如，body-parser、cookie-parser）。

高级中间件模式

让我们探索一些可以显着提高 Express.js 应用程序的功能、安全性和可维护性的高级模式。

1. 错误处理中间件

有效的错误处理对于构建可靠的应用程序至关重要。 Express.js 提供了一个专用的错误处理中间件函数，该函数放置在中间件堆栈中的*最后*。 此函数接受四个参数：(err, req, res, next)。

这是一个例子：

// 错误处理中间件
app.use((err, req, res, next) => {
  console.error(err.stack); // 记录错误以进行调试
  res.status(500).send('Something broke!'); // 使用适当的状态代码进行响应
});

错误处理的关键注意事项：

• 错误记录：使用日志记录库（例如，Winston、Bunyan）记录错误以进行调试和监视。 考虑记录不同严重程度的级别（例如，error、warn、info、debug）
• 状态代码：返回适当的 HTTP 状态代码（例如，400 表示错误请求，401 表示未经授权，500 表示内部服务器错误）以向客户端传达错误的性质。
• 错误消息：向客户端提供信息丰富但安全的错误消息。 避免在响应中暴露敏感信息。 考虑使用唯一的错误代码来在内部跟踪问题，同时向用户返回通用消息。
• 集中式错误处理：在专用的中间件函数中对错误处理进行分组，以实现更好的组织和可维护性。 为不同的错误方案创建自定义错误类。

2. 身份验证和授权中间件

保护您的 API 并保护敏感数据至关重要。 身份验证验证用户的身份，而授权确定允许用户执行的操作。

身份验证策略：

• JSON Web 令牌 (JWT)：一种流行的无状态身份验证方法，适用于 API。 服务器在成功登录后向客户端颁发 JWT。 然后，客户端在后续请求中包含此令牌。 像 jsonwebtoken 这样的库通常被使用。
• 会话：使用 Cookie 维护用户会话。 这适用于 Web 应用程序，但可扩展性不如 JWT。 像 express-session 这样的库有助于会话管理。
• OAuth 2.0：一种广泛采用的委托授权标准，允许用户授予对其资源的访问权限，而无需直接共享其凭据。 （例如，使用 Google、Facebook 等登录）。 使用带有特定 OAuth 策略的 passport.js 等库来实现 OAuth 流程。

授权策略：

• 基于角色的访问控制 (RBAC)：将角色（例如，管理员、编辑、用户）分配给用户，并根据这些角色授予权限。
• 基于属性的访问控制 (ABAC)：一种更灵活的方法，它使用用户、资源和环境的属性来确定访问权限。

示例（JWT 身份验证）：

const jwt = require('jsonwebtoken');
const secretKey = 'YOUR_SECRET_KEY'; // 替换为基于环境的强密钥

// 用于验证 JWT 令牌的中间件
function authenticateToken(req, res, next) {
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];

  if (token == null) return res.sendStatus(401); // 未经授权

  jwt.verify(token, secretKey, (err, user) => {
    if (err) return res.sendStatus(403); // 禁止
    req.user = user; // 将用户数据附加到请求
    next();
  });
}

// 受身份验证保护的示例路由
app.get('/profile', authenticateToken, (req, res) => {
  res.json({ message: `Welcome, ${req.user.username}` });
});

重要的安全注意事项：

• 凭据的安全存储：永远不要以纯文本形式存储密码。 使用强大的密码哈希算法，如 bcrypt 或 Argon2。
• HTTPS：始终使用 HTTPS 加密客户端和服务器之间的通信。
• 输入验证：验证所有用户输入以防止安全漏洞，例如 SQL 注入和跨站点脚本 (XSS)。
• 定期安全审核：进行定期安全审核以识别和解决潜在的漏洞。
• 环境变量：将敏感信息（API 密钥、数据库凭据、密钥）存储为环境变量，而不是在代码中对其进行硬编码。 这使得配置管理更加容易，并促进了最佳实践安全性。

3. 速率限制中间件

速率限制可保护您的 API 免受滥用，例如拒绝服务 (DoS) 攻击和过度资源消耗。 它限制了客户端在特定时间窗口内可以发出的请求数。

像 express-rate-limit 这样的库通常用于速率限制。 还可以考虑使用 helmet 包，除了其他一系列安全增强功能外，该包还将包含基本的速率限制功能。

示例（使用 express-rate-limit）：

const rateLimit = require('express-rate-limit');

const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 分钟
  max: 100, // 将每个 IP 限制为每个 windowMs 100 个请求
  message: '来自此 IP 的请求过多，请在 15 分钟后重试',
});

// 将速率限制器应用于特定路由
app.use('/api/', limiter);

// 或者，应用于所有路由（通常不太理想，除非应同等对待所有流量）
// app.use(limiter);

速率限制的自定义选项包括：

• 基于 IP 地址的速率限制：最常见的方法。
• 基于用户的速率限制：需要用户身份验证。
• 基于请求方法的速率限制：限制特定的 HTTP 方法（例如，POST 请求）。
• 自定义存储：将速率限制信息存储在数据库（例如，Redis、MongoDB）中，以实现跨多个服务器实例的更好可扩展性。

4. 请求正文解析中间件

默认情况下，Express.js 不解析请求正文。 您需要使用中间件来处理不同的正文格式，例如 JSON 和 URL 编码的数据。 尽管较旧的实现可能使用了像 `body-parser` 这样的包，但当前的最佳实践是使用 Express 的内置中间件，因为它自 Express v4.16 起可用。

示例（使用内置中间件）：

app.use(express.json()); // 解析 JSON 编码的请求正文
app.use(express.urlencoded({ extended: true })); // 解析 URL 编码的请求正文

express.json() 中间件解析带有 JSON 有效负载的传入请求，并使解析后的数据在 req.body 中可用。 express.urlencoded() 中间件解析带有 URL 编码有效负载的传入请求。 { extended: true } 选项允许解析丰富的对象和数组。

5. 日志记录中间件

有效的日志记录对于调试、监视和审核您的应用程序至关重要。 中间件可以拦截请求和响应以记录相关信息。

示例（简单日志记录中间件）：

const morgan = require('morgan'); // 一种流行的 HTTP 请求记录器

app.use(morgan('dev')); // 以“dev”格式记录请求

// 另一个示例，自定义格式
app.use((req, res, next) => {
  console.log(`${req.method} ${req.url} - ${new Date().toISOString()}`);
  next();
});

对于生产环境，请考虑使用更强大的日志记录库（例如，Winston、Bunyan）并具有以下内容：

• 日志记录级别：使用不同的日志记录级别（例如，debug、info、warn、error）来根据其严重程度对日志消息进行分类。
• 日志轮换：实施日志轮换以管理日志文件大小并防止磁盘空间问题。
• 集中式日志记录：将日志发送到集中式日志记录服务（例如，ELK 堆栈（Elasticsearch、Logstash、Kibana）、Splunk）以实现更轻松的监视和分析。

6. 请求验证中间件

验证传入请求以确保数据完整性并防止意外行为。 这可以包括验证请求标头、查询参数和请求正文数据。

请求验证库：

• Joi：一个强大而灵活的验证库，用于定义模式和验证数据。
• Ajv：一个快速的 JSON 模式验证器。
• Express-validator：一组 express 中间件，它包装 validator.js 以方便与 Express 一起使用。

示例（使用 Joi）：

const Joi = require('joi');

const userSchema = Joi.object({
  username: Joi.string().min(3).max(30).required(),
  email: Joi.string().email().required(),
  password: Joi.string().min(6).required(),
});

function validateUser(req, res, next) {
  const { error } = userSchema.validate(req.body, { abortEarly: false }); // 将 abortEarly 设置为 false 以获取所有错误

  if (error) {
    return res.status(400).json({ errors: error.details.map(err => err.message) }); // 返回详细的错误消息
  }

  next();
}

app.post('/users', validateUser, (req, res) => {
  // 用户数据有效，继续创建用户
  res.status(201).json({ message: 'User created successfully' });
});

请求验证的最佳实践：

• 基于模式的验证：定义模式以指定数据的预期结构和数据类型。
• 错误处理：验证失败时，向客户端返回信息丰富的错误消息。
• 输入清理：清理用户输入以防止漏洞，例如跨站点脚本 (XSS)。 虽然输入验证侧重于*什么*是可以接受的，但清理侧重于*如何*表示输入以删除有害元素。
• 集中式验证：创建可重用的验证中间件函数以避免代码重复。

7. 响应压缩中间件

通过在将响应发送到客户端之前对其进行压缩来提高应用程序的性能。 这减少了传输的数据量，从而缩短了加载时间。

示例（使用压缩中间件）：

const compression = require('compression');

app.use(compression()); // 启用响应压缩（例如，gzip）

compression 中间件根据客户端的 Accept-Encoding 标头自动使用 gzip 或 deflate 压缩响应。 这对于提供静态资产和大型 JSON 响应特别有益。

8. CORS（跨域资源共享）中间件

如果您的 API 或 Web 应用程序需要接受来自不同域（来源）的请求，则需要配置 CORS。 这涉及设置适当的 HTTP 标头以允许跨域请求。

示例（使用 CORS 中间件）：

const cors = require('cors');

const corsOptions = {
  origin: 'https://your-allowed-domain.com',
  methods: 'GET,POST,PUT,DELETE',
  allowedHeaders: 'Content-Type,Authorization'
};

app.use(cors(corsOptions));

// 或者允许所有来源（用于开发或内部 API -- 谨慎使用！）
// app.use(cors());

CORS 的重要注意事项：

• 来源：指定允许的来源（域）以防止未经授权的访问。 通常，白名单特定来源比允许所有来源 (*) 更安全。
• 方法：定义允许的 HTTP 方法（例如，GET、POST、PUT、DELETE）。
• 标头：指定允许的请求标头。
• 预检请求：对于复杂请求（例如，带有自定义标头或 GET、POST、HEAD 以外的方法），浏览器将发送一个预检请求 (OPTIONS) 以检查是否允许实际请求。 服务器必须使用适当的 CORS 标头响应预检请求才能成功。

9. 静态文件服务

Express.js 提供了用于提供静态文件（例如，HTML、CSS、JavaScript、图像）的内置中间件。 这通常用于提供应用程序的前端。

示例（使用 express.static）：

app.use(express.static('public')); // 从“public”目录提供文件

将您的静态资产放在 public 目录中（或您指定的任何其他目录）。 然后，Express.js 将根据其文件路径自动提供这些文件。

10. 用于特定任务的自定义中间件

除了讨论的模式之外，您还可以创建专为您的应用程序的特定需求量身定制的自定义中间件。 这允许您封装复杂的逻辑并促进代码重用。

示例（用于功能标志的自定义中间件）：

// 自定义中间件，用于根据配置文件启用/禁用功能
const featureFlags = require('./config/feature-flags.json');

function featureFlagMiddleware(featureName) {
  return (req, res, next) => {
    if (featureFlags[featureName] === true) {
      next(); // 功能已启用，继续
    } else {
      res.status(404).send('功能不可用'); // 功能已禁用
    }
  };
}

// 示例用法
app.get('/new-feature', featureFlagMiddleware('newFeatureEnabled'), (req, res) => {
  res.send('这是新功能！');
});

此示例演示了如何使用自定义中间件来控制对基于功能标志的特定路由的访问。 这允许开发人员控制功能发布，而无需重新部署或更改尚未完全审查的代码，这是软件开发中的常见做法。

全球应用程序的最佳实践和注意事项

• 性能：优化中间件的性能，尤其是在高流量应用程序中。 最大限度地减少 CPU 密集型操作的使用。 考虑使用缓存策略。
• 可扩展性：将您的中间件设计为水平扩展。 避免在内存中存储会话数据； 使用分布式缓存，如 Redis 或 Memcached。
• 安全性：实施安全最佳实践，包括输入验证、身份验证、授权以及针对常见 Web 漏洞的保护。 这一点至关重要，特别是考虑到您的受众的国际性。
• 可维护性：编写清晰、文档齐全且模块化的代码。 使用清晰的命名约定并遵循一致的编码风格。 模块化您的中间件以方便维护和更新。
• 可测试性：为您的中间件编写单元测试和集成测试，以确保其功能正常并尽早发现潜在的错误。 在各种环境中测试您的中间件。
• 国际化 (i18n) 和本地化 (l10n)：如果您的应用程序支持多种语言或地区，请考虑国际化和本地化。 提供本地化的错误消息、内容和格式以增强用户体验。 像 i18next 这样的框架可以促进 i18n 工作。
• 时区和日期/时间处理：注意时区并谨慎处理日期/时间数据，尤其是在与全球受众合作时。 使用像 Moment.js 或 Luxon 这样的库进行日期/时间操作，或者最好是使用更新的 Javascript 内置日期对象处理，并具有时区意识。 将日期/时间以 UTC 格式存储在您的数据库中，并在显示它们时将其转换为用户的本地时区。
• 货币处理：如果您的应用程序处理金融交易，请正确处理货币。 使用适当的货币格式并考虑支持多种货币。 确保您的数据始终如一且准确地维护。
• 法律和法规遵从性：了解不同国家或地区的法律和法规要求（例如，GDPR、CCPA）。 实施必要的措施以符合这些法规。
• 可访问性：确保您的应用程序可供残疾用户访问。 遵循可访问性指南，例如 WCAG（Web 内容可访问性指南）。
• 监视和警报：实施全面的监视和警报以快速检测和响应问题。 监视服务器性能、应用程序错误和安全威胁。

结论

掌握高级中间件模式对于构建强大、安全且可扩展的 Express.js 应用程序至关重要。 通过有效地利用这些模式，您可以创建不仅功能强大而且可维护且非常适合全球受众的应用程序。 请记住在整个开发过程中优先考虑安全性、性能和可维护性。 通过仔细的规划和实施，您可以利用 Express.js 中间件的力量来构建成功的 Web 应用程序，以满足全球用户的需求。

进一步阅读：

• Express.js 官方文档
• npm 包存储库
• Helmet.js
• Passport.js
• Joi 验证库