Chúng ta đều biết rằng Meteor cung cấp trình điều khiển miniMongo cho phép khách hàng truy cập vào lớp liên tục (MongoDB) một cách liền mạch.
Nếu bất kỳ khách hàng nào có thể truy cập API liên tục thì làm cách nào để bảo mật ứng dụng của mình?
Các cơ chế bảo mật mà Meteor cung cấp là gì và chúng nên được sử dụng trong ngữ cảnh nào?
Câu trả lời:
Khi bạn tạo ứng dụng bằng lệnh sao băng, theo mặc định, ứng dụng này bao gồm các gói sau:
Cùng với nhau, chúng bắt chước hiệu ứng của việc mỗi máy khách có toàn quyền truy cập đọc / ghi vào cơ sở dữ liệu của máy chủ. Đây là những công cụ tạo mẫu hữu ích (chỉ dành cho mục đích phát triển), nhưng thường không thích hợp cho các ứng dụng sản xuất. Khi bạn đã sẵn sàng cho bản phát hành chính thức, chỉ cần xóa các gói này.
Để bổ sung thêm, Meteor hỗ trợ các gói Facebook / Twitter / và Many More để xử lý xác thực và thú vị nhất là gói Accounts-UI
meteor remove autopublish insecure.
access deniedgặp lỗi. Kiểm tra nó ra.
Trong bộ sưu tập, tài liệu nói:
Hiện tại, khách hàng được cấp toàn quyền ghi vào bộ sưu tập. Họ có thể thực hiện các lệnh cập nhật Mongo tùy ý. Sau khi chúng tôi xây dựng xác thực, bạn sẽ có thể giới hạn quyền truy cập trực tiếp của khách hàng để chèn, cập nhật và xóa. Chúng tôi cũng đang xem xét trình xác thực và chức năng giống ORM khác.
Nếu bạn đang nói về việc hạn chế khách hàng không sử dụng bất kỳ API chèn / cập nhật / xóa trái phép nào của bạn, điều đó có thể.
Xem ứng dụng todo của họ tại https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos
Ngoài ra, họ hiện đã thêm một mô-đun AUTH được tích hợp sẵn, cho phép bạn đăng nhập và đăng ký. Vì vậy, nó an toàn. Theo như bạn đang chăm sóc XSS, Valiations, tiêu đề khách hàng, v.v.
nhưng bạn có thể chuyển đổi ứng dụng sao băng thành ứng dụng nodejs hoạt động hoàn toàn bằng cách triển khai tới node. Vì vậy, nếu bạn biết cách bảo mật một ứng dụng nodejs, bạn sẽ có thể bảo mật sao băng.
Kể từ ngày 0.6.4, trong chế độ phát triển, các khối is_client và is_server vẫn đi đến hệ thống máy khách. Tôi không thể nói nếu chúng được tách biệt khi bạn tắt chế độ phát triển.
Tuy nhiên, nếu không, một hacker có thể có được thông tin chi tiết từ hệ thống bằng cách xem xét các khối mã if (Meteor.is_server). Điều đó đặc biệt quan tâm đến tôi, đặc biệt là vì tôi lưu ý rằng tại thời điểm này tôi vẫn không thể tách Bộ sưu tập thành các tệp riêng biệt trên máy khách và máy chủ.
Chà, vấn đề là không đặt mã liên quan đến bảo mật trong khối is_server trong một thư mục không phải máy chủ (tức là - đảm bảo rằng nó nằm trong một cái gì đó dưới / server.
Tôi muốn xem liệu tôi có phát điên khi không thể tách biệt các Bộ sưu tập máy khách và máy chủ trong các thư mục máy khách và máy chủ hay không. Trong thực tế, không có vấn đề với điều này.
Đây là bài kiểm tra của tôi. Đó là một ví dụ đơn giản về mô hình xuất bản / đăng ký có vẻ hoạt động tốt. http://goo.gl/E1c56