Nodejs Patterns

核心用法

该技能提供完整的 Node.js 后端开发模式，包括分层架构设计（Controller-Service-Repository）、Express/Fastify 双框架支持、Zod 输入验证、JWT 认证授权、PostgreSQL 事务与连接池、Redis 缓存与限流等核心模块。代码示例采用 TypeScript 编写，强调类型安全与错误处理。

显著优点

1. 架构清晰：强制分层设计，职责分离明确，便于测试与维护
2. 安全优先：内置 7 条 NEVER 安全红线，涵盖密钥管理、输入验证、错误脱敏等关键风险点
3. 双框架支持：同时覆盖 Express（生态丰富）与 Fastify（高性能、内置 schema 验证）
4. 企业级特性：连接池、分布式限流、事务模式、优雅关闭等生产必备能力
5. 类型安全：全程 TypeScript，禁止 any 类型，配合 Zod 实现运行时与编译时双重保障

潜在缺点与局限性

• 框架绑定较深：示例代码与 Express/Fastify API 耦合，迁移成本需评估
• ORM 缺席：仅展示原始 SQL 与 pg 驱动，未涵盖 Prisma/TypeORM 等现代 ORM 方案
• 无微服务示例：限流、缓存基于单机 Redis，未涉及集群模式或服务网格
• 测试范例缺失：虽提及依赖注入便于测试，但未提供单元/集成测试代码

适合人群

• 中高级 Node.js 开发者构建生产级 REST API
• 团队制定代码规范与架构标准
• 从 Express 迁移至 Fastify 或评估框架选型
• 需要强化安全实践的后端项目

常规风险

• 密钥泄露：示例中多处使用 process.env.XXX! 非空断言，实际需配合配置校验库（如 envalid）
• JWT 安全性：示例使用 15 分钟短 token + 7 天 refresh token，但未展示 refresh token 轮换与黑名单机制
• SQL 注入：虽强调参数化查询，但手写 SQL 仍存在开发者遗漏风险
• Redis 单点故障：示例未配置 Redis Sentinel 或 Cluster 高可用方案

核心用法

本技能提供生产就绪的Node.js后端开发模式，采用TypeScript编写，支持Express和Fastify两大主流框架。核心架构为分层设计：Controllers处理HTTP请求、Services封装业务逻辑、Repositories抽象数据访问、Middleware管理横切关注点。

关键功能模块包括：

• 框架配置：Express配Helmet/CORS/Compression安全中间件；Fastify提供原生类型安全路由+内置Schema验证
• 错误处理体系：自定义AppError异常类（区分400/401/403/404/500），全局错误中间件，asyncHandler自动捕获异步异常
• 输入验证：Zod驱动的声明式校验，支持body/query/params全量校验
• JWT认证鉴权：双Token机制（15分钟Access + 7天Refresh），RBAC权限控制
• 数据库集成：PostgreSQL连接池配置、事务封装模式
• 性能优化：Redis缓存（TTL控制、模式失效）、分布式限流（15分钟窗口/100请求）

显著优点

1. 安全导向设计：强制环境变量管理密钥、禁止any类型、生产环境隐藏错误详情、参数化查询防注入
2. 工程化成熟：分层架构解耦、依赖注入支持测试、Graceful Shutdown、健康检查端点
3. 双框架覆盖：同时提供Express生态灵活性与Fastify高性能原生特性
4. 类型安全：全链路TypeScript，请求/响应/数据库模型均有类型约束

潜在局限性

• 未包含ORM（如Prisma/TypeORM）示例，需自行集成
• 缺乏微服务架构、消息队列（Kafka/RabbitMQ）、分布式链路追踪等进阶场景
• MongoDB示例简略，以PostgreSQL为主

适合人群

• 中级Node.js开发者构建企业级REST API
• 全栈工程师搭建后端服务骨架
• 团队技术负责人制定代码规范与架构标准

常规风险

• 依赖版本风险：示例代码未锁定依赖版本，需自行执行npm audit
• JWT密钥管理：示例使用process.env.JWT_SECRET!非空断言，实际部署需校验
• Redis单点：示例未展示Redis Cluster/Sentinel高可用配置