我的 Meteor.js 应用程序应该包含密码保护功能。注册用户可以为 Collection 中的某个对象设置一个密码,然后公共用户应该使用该密码进行身份验证才能访问该对象模板。
我想知道最好的方法是什么?
到目前为止的想法:
--生成唯一的auth token,保存到客户端的Session对象中。在客户端上使用此令牌来确定是否应显示密码表单而不是实际的对象模板
--原始密码仅在服务器端可用,并在服务器端适当地加了盐和胡椒
问题:
--我需要一个服务器端 API,客户端可以在其中查询用户尝试访问的当前对象的密码。你如何在 Meteor 中做到这一点?
--定义每个对象的密码并将其与对象一起存储。这真的很令人困惑 - 密码需要发送到服务器,而不是存储在客户端上,然后加盐并与受保护的对象一起存储在服务器上。