Мой сервер использует следующие технологии: Node.js, Express, GraphQL, JWT, MongoDB, Mon goose
В настоящее время у меня есть только пользователи с возможностью создавать, удалять, обновлять и входить в учетные записи, а также просматривать имена пользователей всех пользователей, полезные для поиска.
Для аутентификации я использую JWT, хэшированные пароли и промежуточное ПО для проверки токенов и предоставления информации о пользователях в контексте graphql.
Я понимаю, что мне нужна защита на нескольких уровнях, поэтому я обрисую в общих чертах то, что у меня есть, и, возможно, вы, ребята, можете направить меня в направлении того, чего мне не хватает.
Пн goose: обязательные валидаторы типа по умолчанию, и т. Д. c.
Пн goose -validator: пользовательские валидаторы
- Полное имя: символы, дефисы, пробелы, только апострофы
- Имя пользователя: alphanumeri c, только подчеркивание, дефис и период, от 4 до 24 символов
- Электронная почта: действительный адрес электронной почты с использованием mon goose -validator isEmail validator
- Passwo rd: 8+ символов, по крайней мере, одна строчная буква, прописная буква, число
- День рождения: это объект даты, и прошло не менее 18 лет.
Мои данные c вопросы:
- Нужно ли использовать с этим express -санитизатор? Если это так, повлияет ли это на специальные символы в паролях?
- Я пропускаю какой-либо конкретный c тип проверки или есть контрольный список того, что я должен делать для защиты своего сервера?
Также любые рекомендации будут оценены!