如何防止在 Node.js API 中意外泄漏密码 🛡️

Source: Dev.to

问题

在构建认证系统时，我们必须确保用户的哈希密码永远不会意外泄露到前端的 API 响应中。
传统的做法是手动在发送响应前剔除密码字段：

delete user.password;

⚠️ 问题所在： 在新建的接口（例如新创建的 /profile 路由）中很容易忘记这一步，导致大规模的数据泄露。

安全的 Schema 定义（Mongoose）

如果你使用 Mongoose（MongoDB），可以在 schema 层面强制隐藏密码字段：

const mongoose = require('mongoose');

const UserSchema = new mongoose.Schema({
  email: {
    type: String,
    required: true
  },
  password: {
    type: String,
    required: true,
    select: false // 👈 关键所在！
  }
});

有了 select: false，任何普通查询如 User.findById(id) 都会自动省略密码哈希，使你的代码 默认安全。

为验证显式请求密码

当你需要密码（例如登录时），在查询中显式请求它：

// 1. 为验证显式请求密码
const user = await User.findOne({ email }).select('+password');

// 2. 现在可以安全地比较
const isMatch = await bcrypt.compare(inputPassword, user.password);

只有登录函数会包含密码字段，从而关闭了意外泄露的可能。

结论

在 Mongoose schema 中使用 select: false 提供了一种简单、可靠的方式来防止密码意外暴露。你已经采用这种模式了吗？还是仍在手动剔除响应中的密码？在评论区告诉我们吧！ 👇