掌控全域，尽在掌握：Midwayjs 管理系统接口程序目录手册

Midwayjs API 开发指南：构建健壮且安全的 API 系统

目录结构与开发格式

Midwayjs 采用清晰且有条理的目录结构，便于导航和维护：

• src： 存放源代码，包括控制器、服务、中间件等。
• test： 用于单元测试和集成测试。
• config： 存储配置信息，如数据库连接、中间件设置等。
• public： 存放静态资源，如 HTML、CSS 和 JavaScript。
• logs： 存储程序运行日志。

开发格式注重代码质量和可读性：

• 驼峰命名法提升代码可读性和可维护性。
• 严格模式防止意外的全局变量污染。
• async/await 异步编程简化代码并提高可读性。

权限控制：保障数据安全

权限控制确保只有授权用户才能访问资源和执行操作。Midwayjs 提供了多种机制：

• 基于角色和权限管理 (RBAC)： 根据角色分配权限。
• 基于资源的访问控制 (RBAC)： 为特定资源或操作设置访问权限。
• Token 认证： 使用 JWT 令牌在用户登录时进行身份验证。
• 细粒度权限控制： 为每个 API 接口设置不同的权限要求。

避免表单重复提交

表单重复提交可能导致意外的数据写入。Midwayjs 提供了以下方法：

• CSRF (跨站请求伪造) 保护： 在表单中添加 CSRF 令牌并在服务器端验证。
• 幂等性设计： 确保 API 接口在多次调用时不会导致数据重复写入。

限流：确保系统稳定

在高并发场景下，限流功能可防止系统崩溃：

• 请求速率限制： 限制单个客户端或 IP 地址在一定时间内的请求次数。
• 分布式限流算法： 使用令牌桶或滑动窗口等算法实现更精细的限流控制。

接口访问日志记录

记录接口访问日志对于故障排除和安全审计至关重要。Midwayjs 提供了强大且灵活的日志记录功能：

• 请求和响应信息记录： 记录每个请求的详细信息，如请求方法、URL、参数和响应状态码。
• 异常信息记录： 记录 API 接口处理请求时发生的异常信息。
• 多种日志格式支持： JSON、文本等多种格式，方便存储和分析。

结论

遵循 Midwayjs API 开发指南，您可以构建健壮、安全且高效的 API 系统。该指南涵盖了从目录结构到权限控制、限流和日志记录等各个方面，为开发人员提供了全面的指导。

常见问题解答

1. 如何设置请求速率限制？

   // controller.ts
   @Limit('5/1m')
   @Controller('/')
   export class IndexController {
     @Post('/')
     async index() {
       // ...
     }
   }
   

2. 如何使用 JWT 进行身份验证？

   // middleware.ts
   @Middleware()
   export class JwtMiddleware {
     resolve() {
       // ...
     }
   }
   

3. 如何实现幂等性？
   幂等性需要在业务逻辑中实现，确保多次调用操作不会改变系统状态。

4. 如何记录接口访问日志？

   // config/config.default.ts
   config.logger.file = 'logs/access.log';
   

5. 如何避免 CSRF 攻击？
   在模板中添加 CSRF 令牌：

   // view.html
   <input type="hidden" name="_csrf" value="{{ csrf }}">