使用Meteor在客户端像服务器端一样访问数据库

Question

8

我在文档中看到了这句话:

数据库无处不在。使用相同的透明API从客户端或服务器访问您的数据库。

这很棒，但我认为存在一些安全问题。在客户端提供完全透明的数据库访问权限，您会面临恶意用户的攻击，他们可以修改您的JS代码（它真的在他的浏览器上，他可以这样做），并添加任何可能检索/删除/更新可能是敏感的数据的数据库操作。

如果我说错了，请纠正我。谢谢！

- amuniz

2

我也认为，“在客户端上提供完整的数据库API”<- 没有理智的人会按照当前描述将其投入生产。Meteor项目需要重申他们的意思，或者退一步思考，这对于生产环境真的是个好主意吗？希望他们只是把它纯粹用于开发。 - Sam Giles

3个回答

3

Meteor现在包含了对客户端数据库写入的限制（allow和deny），以及完整的用户账户系统。

- debergalis

2

通过删除不安全和自动发布的软件包来保护您的应用程序：

meteor remove insecure autopublish

- Jason Prawn

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- JB belcherj · Accepted Answer

您说得对。开发人员目前正在处理身份验证和安全问题。目前，一切都是开放的，非常适合创建原型和测试应用程序，但是它们容易受到用户随意检索/删除/更新数据的影响。

请查看此问题的开发人员回复：链接