1

如何在我的应用程序中保护我的快速“GET”路由,以便电子邮件和用户数据不会暴露给未经授权的客户。我想知道,我应该像使用密码一样散列所有字段吗?

我的 GET "/users" 路由像这样发送 JSON..

 {
 "name": "keven",
 "email": "keveng@gmail.com",
 "user": "keven",
 "password": "EEOnGFritH1631671dc8da7431399f824b3925a49e",
 "country": "America",
 "date": "April 20th 2013, 10:34:22 pm",
 "_id": "5173502e5g52676c1b000001"
  }

在我的骨干网和节点/快递应用程序中,我的骨干网集合中有一个 url,如下所示..

Users = Backbone.Collection.extend({
model: User,
url: '/users',
});

而快递路线是这样的:

app.get('/users', function(req, res){
User.find({}, function (err, accounts) {
res.send(accounts);
});
});

谢谢。

4

1 回答 1

5

虽然这并不理想,但如果用户和密码随每个请求一起发送,您只需要一些中间件来在您的 node.js 应用程序中执行身份验证和授权。

认证功能:

function authenticate(user, password, fn) {
  // Trivial, but not recommended
  User.findOne({user: user, password: password}, function (err, user) {
    if (err) {
      return fn(err);
    }
    if (!user) {
      return fn(new Error('no such user'));
    }

    return fn(null, user);
  });
}

一个授权中间件功能,它依赖于身份验证:

function authorize(req, res, next) {
  authenticate(req.params.user, req.params.password, function(err, user) {
    if (err) {
      res.redirect('/login');
    }

    // Probably other logic her to determine now *what* they can do

    return next(null, user);
  });
}

现在,由于您使用的是 Express,您可以在路由中使用授权中间件来限制访问:

app.get('/users', authorize, function(req, res){
  // Can only get here if allowed
  User.find({}, function (err, accounts) {
    res.send(accounts);
  });
});

但请注意,这将针对每个请求执行用户搜索——这是我说它不理想的原因之一。对于正确的系统安全设计,您应该考虑使用 http 基本身份验证和基于会话的 cookie 或 oauth。

以下是一些链接供您查看:

于 2013-04-23T02:07:01.130 回答