# 13-01 安全基础

Web 应用安全 essentials。

## 1. 密码安全

In [None]:
import bcrypt from 'bcrypt';

// 密码哈希（永远不要在数据库中存储明文密码）
const saltRounds = 10;

// 注册时哈希密码
async function hashPassword(password: string): Promise<string> {
  return bcrypt.hash(password, saltRounds);
}

// 登录时验证
async function verifyPassword(password: string, hash: string): Promise<boolean> {
  return bcrypt.compare(password, hash);
}

// 使用
const hashed = await hashPassword('userpassword123');
const isValid = await verifyPassword('userpassword123', hashed);
console.log(isValid);  // true

## 2. JWT 认证

In [None]:
import jwt from 'jsonwebtoken';

const JWT_SECRET = process.env.JWT_SECRET!;  // 32+ 字符的随机字符串

// 生成 Token
function generateToken(userId: string): string {
  return jwt.sign(
    { userId, iat: Date.now() },
    JWT_SECRET,
    { expiresIn: '7d' }
  );
}

// 验证 Token
function verifyToken(token: string): any {
  try {
    return jwt.verify(token, JWT_SECRET);
  } catch (err) {
    return null;  // Token 无效或过期
  }
}

// 使用
const token = generateToken('user123');
const payload = verifyToken(token);
console.log(payload);

## 3. 输入验证与转义

In [None]:
// 防止 XSS - 转义 HTML
function escapeHtml(text: string): string {
  const div = { '&': '&amp;', '<': '&lt;', '>': '&gt;', '"': '&quot;', "'": '&#x27;' };
  return text.replace(/[&<>"']/g, (c) => div[c as keyof typeof div]);
}

// 使用 Zod 验证输入
import { z } from 'zod';

const UserInputSchema = z.object({
  username: z.string().min(3).max(20).regex(/^[a-zA-Z0-9_]+$/),
  email: z.string().email(),
  age: z.number().min(13).max(120)
});

// SQL 注入防护 - 使用参数化查询
// ❌ 不要这样做
// db.query(`SELECT * FROM users WHERE id = ${userId}`);

// ✅ 使用参数化查询
// db.query('SELECT * FROM users WHERE id = ?', [userId]);

## 4. 速率限制

In [None]:
// 简单的内存限流器
class RateLimiter {
  private requests: Map<string, number[]> = new Map();
  
  constructor(
    private maxRequests: number = 100,
    private windowMs: number = 60000
  ) {}
  
  isAllowed(key: string): boolean {
    const now = Date.now();
    const windowStart = now - this.windowMs;
    
    const timestamps = this.requests.get(key) || [];
    const validTimestamps = timestamps.filter(t => t > windowStart);
    
    if (validTimestamps.length >= this.maxRequests) {
      return false;
    }
    
    validTimestamps.push(now);
    this.requests.set(key, validTimestamps);
    return true;
  }
}

// 使用
const limiter = new RateLimiter(5, 60000);  // 每分钟5次
console.log(limiter.isAllowed('user123'));  // true
console.log(limiter.isAllowed('user123'));  // true
// ... 调用5次后
console.log(limiter.isAllowed('user123'));  // false

## 安全检查清单

- [ ] 密码使用 bcrypt 哈希存储
- [ ] API 使用 JWT 或 Session 认证
- [ ] 所有用户输入都验证
- [ ] 输出内容转义防 XSS
- [ ] 数据库使用参数化查询
- [ ] 敏感接口加速率限制
- [ ] 使用 HTTPS
- [ ] 设置安全响应头

## 练习

1. 实现完整的登录/注册流程
2. 为 API 添加 JWT 中间件
3. 查看 OpenClaw 的安全实践