为什么85%的开发者都在错误地使用Express.js？

Why 85% of Developers Use Express.js Wrongly

Express.js 已成为 Node.js 最受欢迎的 Web 框架之一，因其简洁性、灵活性和强大的生态系统而受到赞誉。然而，过于简单的特性可能会让一些开发人员产生过度自信，因此滥用 Express.js，导致性能、安全性和可扩展性受到影响。

许多开发人员忽略了正确的错误处理机制，常常不一致地使用 try/catch 块，或者直接跳过错误中间件。这将导致：

• 未捕获的异常: 当异常发生时，应用程序会崩溃。
• 不安全的错误信息暴露: 在实际运行中，可能会泄露敏感错误信息。

实现一个集中式的错误处理中间件，例如：等等。

    app.use((err, req, res, next) => {  
      console.error(err.stack);  
      res.status(500).json({ error: '出了一点小状况！' });  
    });

Express 允许你使用中间件处理请求，但许多开发人员错误地使用它，比如：…

• 过度使用中间件：为每个路由都添加冗余的中间件，而不是全局或选择性地应用。
• 错误地排列中间件顺序：导致逻辑混乱。

策略性地部署中间件，根据需要将其应用在应用层面或路由层面如下：

    // 全局应用中间件：
    app.use(express.json());  

    // 仅在特定路由上应用中间件
    app.use('/api', authenticateMiddleware); // 这里的中间件仅用于处理 '/api' 路由的请求

Express 是轻量级的，但不良的编码实践可能导致严重的性能瓶颈。

• 阻塞事件循环：在请求处理器中使用同步操作（例如 fs.readFileSync）。
• 错误使用async/await: 忘记正确处理 Promise，导致未捕获的拒绝。

• 使用函数的异步版本。
• 将繁重的计算放到工作线程或外部服务。

在Express.js中，安全漏洞很常见，而且非常危险。

• 暴露敏感信息: 在响应中暴露堆栈跟踪或调试信息。
• 忽略安全头部: 未设置安全头部以防止XSS或点击劫持。

• 使用 helmet 来配置安全头信息

const helmet = require('helmet');  
// 使用 helmet 来增强安全头信息
app.use(helmet());

确保输入安全，以避免注入攻击。

将 API 密钥、数据库凭证或环境特定配置信息直接写死到代码中是一种常见的错误。这很危险且不安全，也会妨碍应用程序的可移植性。

使用环境变量和配置管理工具，例如dotenv。

require('dotenv').config();  // 初始化环境变量并加载 .env 文件
const dbUrl = process.env.DATABASE_URL;  // 从环境变量中获取数据库 URL

许多开发者倾向于使用单体代码结构，将所有代码放在一个 app.js 文件中，例如。这会导致：

• 难以管理的代码基: 难以调试或扩展性。
• 低可重用性: 难以拆分和重复利用组件。

采用模块化结构。

/routes  
  users.js 用户请求的路由文件  
  products.js 产品请求的路由文件  
/controllers  
  userController.js 用户控制器文件  
  productController.js 产品控制器文件

routes 目录包含处理用户和产品请求的路由文件。controllers 目录包含用户和产品的控制器文件。

快递常被用作起点，但很多人没准备好扩展业务。常见的问题有：

• 状态服务: 将 session 数据存放在内存中，而不是使用类似 Redis 的共享存储。
• 不使用负载均衡: 运行单实例，未利用水平扩展。

• 使用无状态的 JWT 认证或共享存储库来存储会话数据。
• 将应用部署在负载均衡器后面。

许多开发者仅仅依赖 console.log() 进行调试，这使得在生产环境中诊断问题变得更加困难。

使用像 winston 或 pino 这样的日志库来实现结构化日志。

const winston = require('winston');  
// 创建一个日志记录器，设置日志级别为'info'，并使用控制台运输
const logger = winston.createLogger({ level: 'info', transports: [new winston.transports.Console()] });  

// 在每次请求时，记录请求的方法和URL
app.use((req, res, next) => {  
  logger.info(`${req.method} ${req.url}`);  
  next();  
});

不正确地处理异步代码可能会导致 bug，比如：

• 忘了使用 await 导致 Promise 无法解决。
• 用回调来代替 Promises 或者 async/await。

始终用 async / await 并妥善处理错误：

    app.get('/data', async (req, res, next) => {  
      try {  
        const 数据 = await 获取数据();  
        res.json(数据);  
      } catch (错误) {  
        next(错误);  
      }  
    });

这类应用常常因测试不足而在实际运行中暴露出未被发现的问题。

使用像 Mocha 或 Jest 这样的工具来进行测试：

const request = require('supertest');  
const app = require('../app');  

// GET /users  
// 应该返回用户列表  
it(async () => {  
  const response = await request(app).get('/users');  
  expect(response.status).toBe(200);  
});

Express.js 是一个出色的框架，但它的灵活性也是一把双刃剑。通过避免这些常见的陷阱，你可以构建安全、可扩展且高效维护的应用程序，从而充分发挥其真正的力量。采用最佳实践，你就能从那85%滥用它的人中脱颖而出！

你可能还会喜欢:

1) 你怎样优化网站的性能？你可以在这里了解更多：[链接]

2)在2025年前改变编程习惯：我的10个编程挑战

3) 高级JavaScript Promise对象面试问题
"你能回答这个高级JavaScript Promise对象面试问题吗？"

4)什么是数据库索引，为什么它很重要？

5)Can AI Transform the Trading Landscape?

点击这里阅读更多我的博客这里

分享你的经历，咱们来聊聊怎么解决这些问题！

关注我领英