要解释“按操作的APIM安全性”，可以使用以下代码示例：

// 导入所需的库
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();

// 设置API密钥
const apiSecret = 'mySecretKey';

// 设置API路由
app.get('/api/public', (req, res) => {
  res.send('这是公共API，无需身份验证');
});

app.get('/api/private', authenticateToken, (req, res) => {
  res.send('这是私有API，需要身份验证');
});

// 身份验证中间件
function authenticateToken(req, res, next) {
  // 获取身份验证头部信息
  const authHeader = req.headers['authorization'];
  const token = authHeader && authHeader.split(' ')[1];

  // 如果没有提供令牌，则返回401 Unauthorized错误
  if (!token) {
    return res.sendStatus(401);
  }

  // 验证令牌是否有效
  jwt.verify(token, apiSecret, (err, user) => {
    if (err) {
      return res.sendStatus(403);
    }
    req.user = user;
    next();
  });
}

// 启动服务器
app.listen(3000, () => {
  console.log('服务器已启动，监听端口3000');
});

上述代码示例是一个使用Node.js和Express框架构建的简单API服务器。其中包含两个路由：/api/public和/api/private。/api/public是公共API，不需要身份验证；而/api/private是私有API，需要身份验证。

在身份验证中间件authenticateToken中，我们获取请求头部的Authorization字段，并从中提取出JWT令牌。然后，我们使用jwt.verify方法验证令牌的有效性，并将解码的用户信息存储在req.user中。如果令牌无效，则返回401 Unauthorized错误。

要使用此解决方案，您需要先安装Node.js和Express框架，并安装jsonwebtoken库。然后，将上述代码保存在一个文件中（如server.js），并通过运行node server.js启动服务器。现在，您可以通过访问http://localhost:3000/api/public和http://localhost:3000/api/private来测试公共和私有API。私有API将要求您提供有效的JWT令牌。