保护一个 Node.js REST API 端点可以使用身份验证和授权机制来限制对特定端点的访问。下面是一个使用 JSON Web Tokens (JWT) 进行身份验证和授权的示例代码：

1. 首先，安装所需的依赖：

npm install express jsonwebtoken

2. 创建一个 authMiddleware.js 文件，用于定义身份验证和授权的中间件逻辑：

const jwt = require('jsonwebtoken');

// 定义一个中间件函数来验证 JWT
const verifyToken = (req, res, next) => {
  // 从请求头中获取 JWT
  const token = req.headers['authorization'];

  // 检查 JWT 是否存在
  if (!token) {
    return res.status(401).json({ message: '没有提供 JWT' });
  }

  try {
    // 验证 JWT
    const decoded = jwt.verify(token, 'your-secret-key');

    // 将解码的 JWT 载荷保存在请求对象中，以便后续处理中可以使用
    req.user = decoded;

    // 继续处理下一个中间件或路由处理程序
    next();
  } catch (error) {
    // JWT 验证失败
    return res.status(403).json({ message: '验证失败' });
  }
};

// 定义一个中间件函数来授权访问
const authorize = (req, res, next) => {
  // 检查用户角色是否为管理员
  if (req.user.role !== 'admin') {
    return res.status(403).json({ message: '没有权限访问' });
  }

  // 允许访问
  next();
};

module.exports = { verifyToken, authorize };

3. 在主文件（例如 app.js 或 server.js）中使用上述中间件：

const express = require('express');
const { verifyToken, authorize } = require('./authMiddleware');

const app = express();

// 应用中间件来验证 JWT
app.use(verifyToken);

// 保护需要授权的端点
app.get('/api/protected', authorize, (req, res) => {
  res.json({ message: '访问受保护的端点成功' });
});

// 启动服务器
app.listen(3000, () => {
  console.log('服务器已启动');
});

现在，当访问 /api/protected 端点时，只有具有管理员角色的用户才能成功访问。如果没有提供有效的 JWT，或者用户角色不是管理员，将返回相应的错误响应。

请注意，上述示例中使用了一个简单的密钥 'your-secret-key' 来签发和验证 JWT。在实际应用中，应该使用更长且随机的密钥，并将其保存在安全的地方。