最近在團隊中落地WebAuthn Passkeys 無密碼認證,積累了不少經驗。整理出來供參考,希望對做類似工作的同學有所幫助。
核心概念
關鍵在於理解核心邏輯:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
性能優化需要結合具體場景,不是所有情況都需要過度優化。
深度解析
我們可以通過以下方式來改進:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這套方案已經在線上穩定運行了半年以上,經過了實際驗證。
落地經驗
先來看基本的實現方式:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這段代碼展示了基本的使用方式。實際項目中還需要考慮錯誤處理和邊界條件。
調優策略
在這個基礎上,我們可以進一步優化:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這種模式在大型項目中非常實用,能顯著降低維護成本。
小結
- 關注社區動態,技術方案需要持續迭代
- 不要為了用新技術而用新技術
- 代碼示例僅供參考,需根據業務場景調整
- WebAuthn Passkeys 無密碼認證不是銀彈,需要根據項目規模和技術棧選擇