2

因此,我正在使用 AngularJS 在我的公司编写一个供内部使用的快速小应用程序,我的项目基本上是基于 AngularJS 网站上的“项目”:http: //angularjs.org/#project-js

我已经设置了视图/模型/控制器,并且能够从数据库中写入和读取。问题是,即使要写入数据库的表单落后于身份验证,这个项目也将被其他开发人员使用。如果我认识他们,每个人都会做的第一件事就是跳转到一个 javascript 控制台并尝试写入数据库。

我在这里错过了某种身份验证吗?当使用连接到 mongodb 的 api 方法(如示例 url 中)时,有没有办法阻止任何人写入数据库,或者这只是使用客户端连接到数据库的危险?

4

1 回答 1

4

您的客户端(浏览器)不应将数据直接发布到数据存储区。它应该通过中间件,例如 rails api 或将运行服务器端验证然后保存到数据存储区的东西。如果您的 javascript 直接将内容发布到数据库,那么不仅会暴露凭据,而且黑客也可以绕过验证并保留不应保存的值。

PS:您的 Rails 应用程序应该添加它自己的身份验证层。这样,正在执行 CRUD 的表单是安全的。

于 2012-12-18T21:54:03.717 回答