2

这已经在这里这里以类似的形式被问过,但它似乎非常重要,并且框架正在快速发展,所以我要再次提出它:

假设您的登录页面需要面向公共互联网,您如何防止 Meteor 将所有经过身份验证的用户模板发送到未经过身份验证的客户端?

示例用例:您有一些非常独特的分析/性能指标想要保密。您已经构建了模板来可视化每个模板。只需访问登录页面,Meteor 就会向任何随机发送模板,即使是未填充的模板,也会泄露大量专有信息。

我看到了两个建议:

  1. 将管理员分解为一个单独的应用程序。假设管理员登录面向公共互联网,这并不能解决问题,除非我遗漏了什么。
  2. 将模板放在public文件夹或等效文件夹中并动态加载它们。这也无济于事,因为文件名将从将发送到客户端的其他模板中可见。

我唯一能想到的是将模板字符串存储在server文件夹中,并让客户端在登录后调用 aMeteor.method来检索和呈现它们。如果你想让它们表现得像普通的客户端模板,你就不得不使用内部 API(例如Meteor._def_template)。

有没有更优雅的方法来做到这一点?

4

2 回答 2

0

我在这里问了一个类似的问题: Segmented Meteor App(s) - loading only half the client or two apps sharing a database

似乎是一个共同的问题,我当然认为这是应该在某个时候解决的问题。

在那之前,我计划制作一个较小的“公共”应用程序并与管理应用程序共享数据库(可能在 Meteor 中,可能在其他东西中,取决于我的管理员的大小/数据)

于 2013-03-29T20:05:28.840 回答
0

这两个包试图解决这个问题:
https://atmospherejs.com/numtel/publicsources
https://atmospherejs.com/numtel/privatesources

它使用 Iron-router 插件在每条路线上加载您的特定文件。

我在这里看到的主要缺点是您必须更改应用程序结构,因为受保护的文件需要存储在/public/private文件夹中。
你也应该使用铁路由器。

于 2015-05-23T14:26:24.693 回答