How do you apply the security principles for routing?
That has to be done client side. Does it mean there is no secure way to restrict some routes to specific users. I know about filters in Meteor.Router, but those are defined on the client side.
This is a question asked in this comment by curious2learn.
不幸的是,你是对的,目前没有安全的方法来限制特定用户的路由。
在当前版本的 Meteor 中,整个客户端代码一次发送给所有用户。这意味着所有的视图和模板都在那里,有兴趣的用户会找到一种方法来显示它们。
这当然并不意味着您不应该保护它们,以免非特权用户意外输入它们,您可以通过路由器过滤器或将整个模板打包在条件中轻松地做到这一点。这只是意味着你不应该相信谁会看到模板,所以你不应该把硬编码的敏感数据放在一个里面。同样,永远不要相信客户端,甚至是你自己的代码(它可以被篡改)。
您唯一可以控制的是将在所述模板中获取和显示的数据。
查看我的Accounts Admin UI包。它管理与 Meteor 帐户巧妙集成的角色包。默认情况下,角色不会发布到客户端。Accounts Admin UI包含有关如何与 Iron Router 集成的快速入门和说明 。
看看这两个资源。1. https://atmospherejs.com/alanning/roles 2. https://themeteorchef.com/snippets/using-the-roles-package/
希望他们有所帮助
查看https://atmospherejs.com/aumel/security-authorization正在完成这项工作(通过服务器端权限检查)并且基于流行的https://atmospherejs.com/alanning/roles