DEV Community: Owali Ullah Shawon

Secure Your Node.js API Like a Bank Vault

Owali Ullah Shawon — Fri, 16 May 2025 10:41:18 +0000

In the world of web development, building a Node.js API is the easy part. Keeping it safe? That’s where the real challenge begins.

Think of your API as a digital bank vault — holding sensitive data, guarding against intruders, and expected to run 24/7 without a hitch. But without the right security layers, that vault is just a fancy box waiting to be cracked open.

🛡️ 1. Use Helmet.js — Your First Line of Defense

You wouldn't leave your front door unlocked. Helmet.js is the digital equivalent of installing a high-end security system on your Node.js server.

Add it to your app:

const helmet = require('helmet');
app.use(helmet());

Helmet sets various HTTP headers to protect against common vulnerabilities like Cross-Site Scripting (XSS), clickjacking, and more.

🚧 2. Rate Limiting — Keep the Bots at Bay

You don’t want someone trying to brute-force your API with thousands of requests per second. That’s where rate limiting comes in.

npm install express-rate-limit

Add a rate limiter middleware:


const rateLimit = require('express-rate-limit');

const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 minutes
  max: 100, // limit each IP to 100 requests per window
});

app.use(limiter);

✅ Why it matters: Stops DDoS attempts, brute-force logins, and API abuse in their tracks.

🌐 3. CORS — Lock Down Who Can Talk to You

CORS (Cross-Origin Resource Sharing) determines who can interact with your API from the browser. A poorly configured CORS policy is an open invitation to attackers.

Instead of this:

app.use(cors()

Do this:

const corsOptions = {
  origin: ['<https://yourfrontend.com>'],
  methods: ['GET', 'POST'],
  credentials: true,
};

app.use(cors(corsOptions));Only allow trusted domains and HTTP methods.

🔐 4. Authentication — Say No to DIY Tokens

Rolling your own authentication is like designing your lock and assuming no one will pick it. Use industry-standard solutions like JWT (JSON Web Tokens) or OAuth2.

JWT Example:

const jwt = require('jsonwebtoken');

const token = jwt.sign({ userId: 123 }, 'your-secret-key', { expiresIn: '1h' });

On protected routes, verify the token:

const decoded = jwt.verify(token, 'your-secret-key')

✅ Best practice: Store secrets securely using .env files and rotate them regularly.

🧼 5. Input Sanitization — Don’t Let Hackers Slip In

Every piece of user input is a potential Trojan horse. SQL injections, XSS attacks, and script injections all start with unchecked input.

Use libraries like xss-clean:

npm install xss-clean

And add it as middleware:

const xss = require('xss-clean');
app.use(xss());

Also, validate inputs using packages like express-validator or Joi to enforce strong typing and format.

✅ Rule of thumb: Trust nothing, validate everything.

🧾 Final Thoughts

Securing your Node.js API isn't just a checkbox — it’s a mindset. Like any high-value target, your backend must be protected with layers of defense. Think of it like a bank vault: steel doors, motion sensors, keycards, and armed guards all working together.

Here’s your quick checklist:

✅ Helmet for HTTP header security
✅ Rate limiting to block API abuse
✅ Strict CORS policies
✅ Standardized auth with JWT/OAuth2
✅ Input sanitization and validation

Lock it down now — before someone else finds the door.

Want more security tips? Comment or connect with me on GitHub, let’s build safer APIs together.

localtunnel vs ngrok

Owali Ullah Shawon — Wed, 07 May 2025 06:43:09 +0000

সম্প্রতি, আমি এমন কিছু ডেভেলপমেন্ট কাজ করেছি যেখানে আমার লোকালহোস্টকে বাইরের দুনিয়ার জন্য HTTPS সাইট হিসেবে উন্মুক্ত করা প্রয়োজন হয়েছিল। এটি শুধু সাময়িক এবং ডেভেলপমেন্টের স্বার্থেই ছিল।

এই প্রক্রিয়াটি শেখার সময় আমি দুটি খুব সহজ ও উপকারী টুল সম্পর্কে জানতে পারি:

ngrok
localtunnel

এই দুই অ্যাপ্লিকেশন মূলত একই কাজ করে, তবে কিছু উল্লেখযোগ্য পার্থক্য রয়েছে।

আমাদের প্রয়োজনে, এই দুটি টুলই ব্যবহারযোগ্য। তবে (ফ্রি ভার্সনে) দুটি প্রধান পার্থক্য আছে:

ngrok অনেক বেশি স্থিতিশীল। আমি এটি দিনের পর দিন চালিয়ে রেখেছিলাম কোনো সমস্যা ছাড়াই। এটি দীর্ঘ সময় ধরে ডেভেলপমেন্ট চলার সময় খুবই সুবিধাজনক, কারণ আপনাকে বারবার এটি পরীক্ষা করতে হয় না।

তবে, আপনি যদি প্রতি বছর অন্তত $60 না দেন, তাহলে আপনি একটি নির্দিষ্ট সাবডোমেইন ব্যবহার করতে পারবেন না। উদাহরণস্বরূপ, আপনি যদি প্রথমবার আপনার লোকালহোস্টের port 8000-এ URL ম্যাপ করেন, তাহলে আপনি পেতে পারেন:

https://1bdb-45-248-148-177.ngrok-free.app -> localhost:8000

কিন্তু, আপনি যদি এটি বন্ধ করে আবার চালু করেন, তাহলে সাবডোমেইনটি হবে ভিন্ন, যেমন:

https://pPma78.ngrok-free.app -> localhost:8000

আপনার ডেভেলপমেন্ট প্রক্রিয়ার অন্য কোনো অংশ যদি নির্দিষ্ট URL-এর ওপর নির্ভর করে, তাহলে এটি খুবই ঝামেলার হয়ে দাঁড়ায়। বিশেষ করে, যখন আমি একটি Slack App ডেভেলপ করছিলাম, তখন আমাকে সেই URL যেসব জায়গায় ব্যবহার করা হয়েছে, যেমন Slack App-এ থাকা দুইটি URL, সব জায়গায় গিয়ে পরিবর্তন করতে হতো এবং নতুন URL দিয়ে পুনরায় ভেরিফিকেশন করতে হতো। এটি বেশ কষ্টকর।

localtunnel এই সাবডোমেইন পরিবর্তনের সমস্যাটি দূর করে দেয় কারণ এটি আপনাকে বিনামূল্যে নিজের পছন্দের সাবডোমেইন অনুরোধ করার সুযোগ দেয়। অর্থাৎ, আপনি যখনই লোকালহোস্টের কোনো port-এ টানেল চালু করবেন, সেটি সব সময় হতে পারে:

https://shawon.loca.lt

lt --port 3000 --subdomain shawon
your url is: [https://shawon.loca.lt](https://shawon.loca.lt/)

তবে, localtunnel ততটা স্থিতিশীল নয়। এটি প্রায়ই বন্ধ হয়ে যায়। তাই আপনাকে টার্মিনালটি নজরে রাখতে হয়। ভালো দিক হলো, এটি আবার চালু করতে এক মুহূর্তই লাগে এবং আপনাকে আর কিছু পরিবর্তন করতে হয় না।