Oli*_*alo 91 security mongodb meteor
我们都知道Meteor提供了miniMongo驱动程序,它可以无缝地允许客户端访问持久层(MongoDB).
如果任何客户端可以访问持久性API,那么如何保护其应用程序?
Meteor提供的安全机制是什么以及它们应在何种上下文中使用?
小智 64
使用meteor命令创建应用程序时,默认情况下该应用程序包含以下包:
这些模仿了每个客户端对服务器数据库具有完全读/写访问权限的效果.这些是有用的原型设计工具(仅限开发目的),但通常不适用于生产应用程序.当您准备好发布产品时,只需删除这些包.
要添加更多内容,Meteor支持Facebook/Twitter /和更多包来处理身份验证,最酷的是Accounts-UI包
如果您正在讨论限制客户端不使用任何未经授权的插入/更新/删除API,那就可能.
在https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos上查看他们的todo应用程序
此外,他们现在添加了一个内置的AUTH模块,可以让您登录和注册.所以它的安全.至于您正在处理XSS,Valiations,客户端标题等.
但是你可以通过部署到节点来将流星应用程序转换为完全正常工作的nodejs应用程序.因此,如果您知道如何保护nodejs应用程序,您应该能够保护流星.
| 归档时间: |
|
| 查看次数: |
11100 次 |
| 最近记录: |