中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Koa如何使用小技巧有哪些

發布時間:2021-08-10 11:41:36 來源:億速云 閱讀:132 作者:小新 欄目:web開發

這篇文章將為大家詳細講解有關Koa如何使用小技巧有哪些,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。

cookie的安全保護

基于cookie來驗證用戶狀態的系統中,如何提高cookie的安全級別是首要因素,最簡單直接的方式就生成的cookie值隨機而且復雜。一般使用uuid來生成cookie,生成的隨機串在復雜度上已滿足需求,但是如果真被攻擊者嘗試到一個可用的值,那怎么防范呢?使用signed的cookie設置,如下所示:

app.keys = ["token"];

...

ctx.cookies.set("jt", "abcd", {
 signed: true,
});

在設置 jt 這個cookie的時候,koa會以 jt 的值 abcd 加上設置的密鑰,生成校驗值,并寫入至 jt.sig 這個cookie中,所以能看到響應的HTTP頭中如下所示:

Set-Cookie: jt=abcd; path=/; httponly
Set-Cookie: jt.sig=gpDbdxr25sarDhE_1yMSAnIn_bU; path=/; httponly

在后續的請求中,獲取 jt 這個cookie時,則會根據 jt.sig 的值判斷是否合法,安全性上又明顯提升。

那么 app.keys 為什么是設計為數組呢?先來考慮以下的一種場景,當希望更換密鑰的時候,原有的的cookie都將因為密鑰更新而導致校驗失敗,則用戶的登錄狀態失效。一次還好,如果需要經常需要更新密鑰(我一般一個月更換一次),那怎么處理好?這就是 app.keys 為配置為數組的使用邏輯了。

當生成cookie時,使用keys中的第一個元素來生成,而校驗的時候,是從第一個至最后一個,一個個的校驗,直到通過為止,所以在更新密鑰的時候,只需要把新的密鑰加到數組第一位則可以。我一般再保留兩組密鑰,因為更新是一個月一次,因此如果客戶的cookie是三個月前生成的,那就會失效了。

cookie的校驗是基于 keygrip 來處理的,大家也可以使用它來做自己的一些數據校驗,如驗證碼之類。

異常處理

在使用koa時,一般出錯都是使用 ctx.throw 來拋出一個error,中斷處理流程,接口響應出錯,處理邏輯如下所未:

app.on('error', (err, ctx) => {
 // 記錄異常日志
 console.error(err);
});

app.use((ctx) => {
 ctx.throw(400, '參數錯誤');
});

此處只利用了koa自帶的異常出錯,過于簡單,我們希望能針對主動拋出的異常與程序異常能加以區分,因此需要自定義異常處理的中間件,如下:

app.on('error', (err, ctx) => {
 // 記錄異常日志
 console.error(err);
});

app.use(async(ctx, next) => {
 try {
  await next()
 } catch (err) {
  let status = 500;
  const message = err.message;
  // koa的throw使用http-errors來生成error
  // 此處只判斷是否有status,有則認為是http-errors
  if (err.status) {
   status = err.status
  } else {
   // 非主動拋出異常,則觸發error事件,記錄異常日志
   ctx.app.emit("error", err, ctx);
  }
  ctx.status = status;
  ctx.body = {
   message,
  };
 }
})

app.use((ctx) => {
 // 代碼異常
 // ctx.i.j = 0;
 // 主動拋出異常
 ctx.throw(400, '參數錯誤');
});

通過此調整后,將邏輯主動拋出異常與程序異常區分開,定時去查看異常日志,減少程序異常。此例子只是簡單的使用了http-errors來創建主動拋出的異常,在實際使用中,可以根據自己的場景創建自定義的Error類,定制相應的異常信息。

當前正在處理請求數

得益于nodejs的IO處理,koa在高并發的場景下的CPU、內存都占用并不高,但是也因為這樣,如果只通過CPU、內存來監控程序運行狀態并不全面,因此需要增加當前處理請求數的監控,代碼如下:

let processingCount = 0;
const maxProcessingCount = 1000;
app.use(async (ctx, next) => {
 processingCount++;
 if (processingCount > maxProcessingCount) {
  // 如果需要也可以直接在處理請求超時時,直接出錯
  console.error("processing request over limit");
 }
 try {
  await next();
 } catch (err) {
  throw err; 
 } finally {
  processingCount--;
 }
});

app.use(async (ctx) => {
 // 延時一秒
 await new Promise(resolve => setTimeout(resolve, 1000));
 ctx.body = {
  account: 'vicanso',
 };
});

此中間件在接收到請求時,將處理請求數加一,在處理完成后減一。最大的處理請求數根據系統的性能與用戶數量選擇合理的值。如果接口處理慢或者突然并發請求暴漲的時,可以盡早得知異常情況,盡早排查。

延時響應

接口的處理一般而言都是希望越快越好,但有些場景我們不希望接口響應的太快(如注冊),避免惡意者迅速嘗試功能,因此需要一個延時響應的中間件,代碼如下:

function delayResponse(delayMs) {
 const delay = (t) => {
  const d = delayMs - (Date.now() - t);
  // 如果處理時長已超過delayMs,無需等待
  if (d <= 0) {
   return Promise.resolve();
  }
  return new Promise(resolve => setTimeout(resolve, d));
 }
 return async(ctx, next) => {
  const startedAt = Date.now();
  try {
   await next();
   // 成功處理時等待
   await delay(startedAt);
  } catch (err) {
   // 失敗時也等待
   await delay(startedAt);
   throw err;
  }
 }
}

router.post('/users/v1/register', delayResponse(1000), (ctx) => {
 ctx.body = {
  account: 'vicanso',
 };
});

通過此中間件,可以限制某些功能的響應時長(保證每次處理時間都大于期望值),需要注意的是,延時響應的不要超過全局的超時配置。

接口性能統計

系統是否穩定,性能是否需要優化等都依賴于統計,為了能及時反應出系統狀態,并方便添加告警指標,我將相關的統計數據寫入influxdb,主要指標如下:

tags:

  • method,請求類型

  • type,根據響應狀態碼分組,1xx -> 1, 2xx -> 2

  • spdy,根據自定義的響應時間劃分區間,方便將接口響應時間分組

  • route,接口路由

fields:

  • connecting,處理請求數

  • use,處理時長

  • bytes,響應數字長度

  • code,響應狀態碼

  • url,請求地址

  • ip,用戶IP

在influxdb中,tags可用于對數據分組,根據 type 將接口請求分組,將 4 與 5 的單獨監控,可以簡單快速的把當前接口出錯匯總。統計中間件代碼如下:

function stats() {
 let connecting = 0;
 const spdyList = [
  100,
  300,
  1000,
  3000,
 ];
 return async (ctx, next) => {
  const start = Date.now();
  const tags = {
   method: ctx.method,
  };
  connecting++;
  const fields = {
   connecting,
   url: ctx.url,
  }
  let status = 0;
  try {
   await next();
  } catch (err) {
   // 出錯時狀態碼從error中獲取
   status = err.status;
   throw err;
  } finally {
   // 如果非出錯,則從ctx中取狀態碼
   if (!status) {
    status = ctx.status;
   }
   const use = Date.now() - start;
   connecting--;
   tags.route = ctx._matchedRoute;
   tags.type = `${status / 100 | 0}`
   let spdy = 0;
   // 確認處理時長所在區間
   spdyList.forEach((v, i) => {
    if (use > v) {
     spdy = i + 1;
    }
   });
   tags.spdy = `${spdy}`;

   fields.use = use;
   fields.bytes = ctx.length || 0;
   fields.code = status;
   fields.ip = ctx.ip;
   // 統計數據寫入統計系統(如influxdb)
   console.info(tags);
   console.info(fields);
  }
 };
}

app.use(stats());

router.post('/users/v1/:type', async (ctx) => {
 await new Promise(resolve => setTimeout(resolve, 100))
 ctx.body = {
  account: 'vicanso',
 };
});

接口全日志記錄

為了方便排查問題,需要將接口的相關信息輸出至日志中,中間件的實現如下:

function tracker() {
 const stringify = (data) => JSON.stringify(data, (key, value) => {
  // 對于隱私數據做***處理
  if (/password/.test(key)) {
   return '***';
  }
  return value;
 });
 return async (ctx, next) => {
  const trackerInfo = {
   url: ctx.url,
   form: ctx.request.body,
  };
  try {
   await next();
  } catch (err) {
   trackerInfo.error = err.message;
   throw err;
  } finally {
   trackerInfo.params = ctx.params;
   if (!trackerInfo.error) {
    trackerInfo.body = ctx.body;
   }
   console.info(stringify(trackerInfo))
  }
 };
}

app.use(bodyParser());
app.use(tracker());

router.post('/users/v1/:type', async (ctx) => {
 // ctx.throw(400, '密碼出錯');
 await new Promise(resolve => setTimeout(resolve, 100))
 ctx.body = {
  account: 'vicanso',
 };
});

使用此中間件之后,可以將所有接口的參數、正常響應數據或出錯信息都全部輸出至日志中,可根據需要調整 stringify 的實現,將一些隱私數據做***處理。需要注意的是,由于部分接口的body響應體部分較大,是否需要將所有數據都輸出至日志最好根據實際情況衡量。如可根據HTTP Method過濾,或者根據url規則等。

參數校驗

由于javascript的弱類型,接口參數校驗一直是要求最嚴格的一點,而在了解過 joi 之后,我就一直使用它來做參數校驗,如注冊功能,賬號、密碼為必選參數,而郵箱為可選,接口校驗的代碼如下:

function validate(data, schema) {
 const result = Joi.validate(data, schema);
 if (result.error) {
  // 出錯可創建自定義的校驗出錯類型
  throw result.error;
 }
 return result.value;
}

router.post('/users/v1/register', async (ctx) => {
 const data = validate(ctx.request.body, Joi.object({
  // 賬號限制長度為3-20個字符串
  account: Joi.string().min(3).max(20).required(),
  // 密碼限制長度為6-30,而且只允許字母與數字
  password: Joi.string().regex(/^[a-zA-Z0-9]{6,30}$/).required(),
  email: Joi.string().email().optional(),
 }));
 ctx.body = {
  account: data.account,
 };
});

通過joi簡單快捷實現了參數的校驗,不過在實際使用中,有部分的參數校驗規則是通用的,如賬號、密碼這些的校驗規則在注冊和登錄中都通過,但是有些接口是可選,有一些是必須,怎么才能更通用一些呢?代碼調整如下:

const userSchema = {
 // 賬號限制長度為3-20個字符串
 account: () => Joi.string().min(3).max(20),
 // 密碼限制長度為6-30,而且只允許字母與數字
 password: () => Joi.string().regex(/^[a-zA-Z0-9]{6,30}$/),
 email: () => Joi.string().email(),
}

router.post('/users/v1/register', async (ctx) => {
 const data = validate(ctx.request.body, Joi.object({
  account: userSchema.account().required(),
  password: userSchema.password().required(),
  email: userSchema.email().optional(),
 }));
 ctx.body = {
  account: data.account,
 };
});

經此調整后,將用戶參數校驗的基本規則都定義在 userSchema 中,每個接口在各自的場景下選擇不同的參數以及增加規則,提高代碼復用率以及校驗準確性。

關于“Koa如何使用小技巧有哪些”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

koa
AI

潢川县| 巴彦县| 寿宁县| 农安县| 九台市| 德令哈市| 普宁市| 祁门县| 安多县| 郎溪县| 宾川县| 肇东市| 西昌市| 信丰县| 普安县| 额敏县| 江油市| 张掖市| 正镶白旗| 蒙自县| 乌海市| 温州市| 灵璧县| 五指山市| 密云县| 甘南县| 星座| 晴隆县| 扶沟县| 商河县| 萝北县| 涞水县| 孙吴县| 临夏县| 大邑县| 韩城市| 汤阴县| 民乐县| 龙岩市| 普定县| 琼海市|