我们使用 OrientDB 服务器作为我们移动应用程序的数据库。
由于我们使用 Javascript 和 REST Api 在 OrientDB 和我们的应用程序之间进行通信,我们的用户名和密码并不安全,因为任何用户都可以查看源代码并查看我们所有的帐户凭据来访问 orientDB。
我们将如何处理这种情况?我们可以保护我们的服务器对匿名用户?
谢谢!
非常感谢任何回复。
我们使用 OrientDB 服务器作为我们移动应用程序的数据库。
由于我们使用 Javascript 和 REST Api 在 OrientDB 和我们的应用程序之间进行通信,我们的用户名和密码并不安全,因为任何用户都可以查看源代码并查看我们所有的帐户凭据来访问 orientDB。
我们将如何处理这种情况?我们可以保护我们的服务器对匿名用户?
谢谢!
非常感谢任何回复。
您应该使用一些后端技术/框架来抽象对 OrientDB 的直接访问,以便用户无法直接操作您的数据库。例如,如果您喜欢使用 JavaScript,可以尝试查看node.js。
我建议不要让前端直接与数据库通信,因为这会增加安全性和防止注入的难度。
使用一些后端代码会更适合与数据库通信。
您可以要求客户输入用户名/密码,然后让“访客”用户查看公共页面。
您可以为阅读器ORole设置默认的用户名和密码,这将只允许读取数据库,他们在注册和登录之前不能写入任何内容。在他们注册并登录后,将使用他们自己的密码而不是默认密码。此时您只需将数据库设置为 ORestricted。
ORoles 应该允许您以这样的方式设置用户,即使他们看到各种数据库条目,他们也只能删除自己的条目,而不是其他作者。每次收到命令时,数据库都会检查是否允许用户进行更改。查看记录级别安全性以获得更详细的说明。