🔐 构建安全稳定的风控接口服务:Node.js + JWT 权限验证实战
✅ 为什么写这篇?
在汇丰等金融系统中,风控 API 承载了极高的安全风险。你必须确保接口只有特定身份的系统或人员才能访问,还要防止被重放、伪造、篡改。
本篇通过构建一个“账户冻结接口”的服务案例,结合 JWT(Json Web Token)和权限模型,讲透金融接口安全的落地实战。
📌 场景还原
场景:汇丰风控系统检测到客户 A 有欺诈嫌疑,需通过风控接口发起账户冻结操作。
要求:
- 只有风控系统具备“冻结权限”
- 接口必须校验签名、身份、权限等级
- 请求与响应都需可追溯
🧰 技术选型
| 技术 | 用途 |
|---|---|
| Node.js + Express | 接口服务框架 |
JWT (jsonwebtoken) | 身份签名与解密 |
| Redis(可选) | Token 黑名单存储(扩展) |
🧪 实战代码
1️⃣ 安装依赖
npm install express jsonwebtoken body-parser
2️⃣ 初始化服务 server.js
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
app.use(express.json());
const SECRET = 'HSBC_SECRET_KEY'; // 建议从环境变量加载
3️⃣ 模拟登录获取 Token(假设风控系统登录后获取)
app.post('/login', (req, res) => {
const { username } = req.body;
// 实际应接入 DB 校验 + 角色系统
const token = jwt.sign(
{ username, role: 'risk_manager', permission: ['freeze'] },
SECRET,
{ expiresIn: '1h' }
);
res.json({ token });
});
4️⃣ 通用身份认证中间件
function authMiddleware(requiredPerm) {
return (req, res, next) => {
const token = req.headers['authorization']?.split(' ')[1];
if (!token) return res.status(401).send('未提供 Token');
try {
const payload = jwt.verify(token, SECRET);
if (!payload.permission.includes(requiredPerm)) {
return res.status(403).send('权限不足');
}
req.user = payload; // 挂载用户信息
next();
} catch (err) {
return res.status(401).send('Token 无效或过期');
}
};
}
5️⃣ 风控接口:冻结账户
app.post('/freeze', authMiddleware('freeze'), (req, res) => {
const { accountId, reason } = req.body;
console.log(`🚫 风控冻结请求 by ${req.user.username} -> 账号 ${accountId}`);
res.json({ status: 'success', message: `账户 ${accountId} 已被冻结` });
});
🧪 测试流程演示
- 获取 Token:
curl -X POST http://localhost:3000/login -H "Content-Type: application/json" -d '{"username":"admin"}'
# 返回:{"token":"xxxx.yyy.zzz"}
- 发起冻结请求:
curl -X POST http://localhost:3000/freeze \
-H "Authorization: Bearer xxxx.yyy.zzz" \
-H "Content-Type: application/json" \
-d '{"accountId":"A12345","reason":"异常登录"}'
✅ 输出:
{
"status": "success",
"message": "账户 A12345 已被冻结"
}
⚠️ 易错点总结
| 错误点 | 描述 |
|---|---|
| ❌ 不加权限字段,仅校验身份 | 导致普通用户也能发起风控操作 |
| ❌ Token 无过期时间 | 长期有效,容易泄露风险大 |
| ❌ Token 被复制可复用 | 建议加 token jti / redis 黑名单做一次性令牌 |
✅ 建议做法:
- 每个接口应带上
permission粒度控制 - Token 加入
exp和jti字段 - 使用 Redis 黑名单实现注销
🎯 总结
- 本文实现了一个“权限 + 签名”控制的风控接口
- 使用 JWT 实现身份认证与权限校验
- 可扩展为银行内部多角色、多接口风控系统基础框架
