2

我在用户集合上有一个活动字段,我想阻止将该字段设置为 false 的用户登录应用程序。我可以让他们以后登录,所以我不能删除他们的帐户或更改他们的密码。如何禁止他们登录流星?

4

2 回答 2

1

可能最安全的做法是将用户的数据移动到另一个集合并删除用户的帐户。当然,如果系统中的现有数据与该用户的 ID 相关联,这可能是不可取的。

我浏览了文档,找不到任何听起来像您可以设置帐户失效标志的东西(尽管这似乎是一个非常有用的功能)。

警告我不是安全专家。以下建议可能很糟糕:

如果您需要保留用户帐户,您可以尝试的一件事是移动或修改用户帐户中的 SRP 数据。例如,您可以将字符串附加'--disabled--''services.password.srp.salt'. 这将阻止用户重新登录,显然您可以通过删除字符串来反转该过程。

于 2013-05-20T01:49:32.497 回答
1

虽然这不会阻止他们直接登录,但他们会在他们登录后立即注销,这取决于您的使用情况,可能会作为一种黑客攻击:

Meteor.autorun(function(){
  if(typeof Meteor.user().blocked !== "undefined"){
    Meteor.logout(function(){alert('Your account is blocked at the moment, please contact us for more information');});    
  }
});

阻止是您设置的无效帐户属性

于 2013-05-20T22:12:01.950 回答