security - Meteor.call 访问经过身份验证的用户数据？

Question

在 Meteor 中，在客户端上，很容易确定用户。

客户端可以通过 向服务器发送请求/参数Meteor.call(params)。

如何从服务器获取登录的用户数据？

（从客户端传递到服务器是不安全的）

Answer 1

那很容易。

Meteor.user()并且Meteor.userId()在服务器上可用的方式与在客户端上的方式相同——由 Meteor 核心安全地管理和验证。

向流星队致敬！

Meteor.methods({
  myFancyFunc1: function(args) {
    var user = Meteor.user();
  },
  myFancyFunc2: function(args) {
    var user = AbstractClass.getUser();
  }
});
AbstractClass = {
  getUser: function() {
    if (Meteor.isServer) {
      // are we initiated via DDP (with access to Auth, Meteor.call)
      var currentInvocation = DDP._CurrentInvocation.get();
      if (currentInvocation) {
        // return logged in user as passsed through
        return Meteor.user();
      }
      // we don't know the user details, return empty object instead
      return {};
    }
  }
};