1

在数据安全方面,我已经阅读了很多关于 Meteor 限制的帖子。更具体地说,根据我的阅读,meteor 在客户端提供了完整的数据库读/写访问权限,例如使用 Chrome 上的 JS 控制台。我想知道流星是否发布了任何更新,现在我们是否可以拒绝对客户端的读/写数据库访问。我在 Meteor 文档上读到了一些关于此的内容,但不确定在多大程度上可以拒绝访问。

4

1 回答 1

1

在开发应用程序时,对客户端拥有完整的 crud 权限很有用。这就是自动发布和不安全包的用途。在生产中,您删除这些包并仅授予客户端您想要的权限。

默认情况下,一个新的 Meteor 应用程序包括 autopublish 和 insecure 包,它们共同模仿每个客户端对服务器数据库具有完全读/写访问权限的效果。这些是有用的原型设计工具,但通常不适合生产应用程序。准备好后,只需卸下包裹即可。

http://docs.meteor.com/#dataandsecurity

于 2013-06-18T19:18:22.537 回答