摘要:通過這種方式我們可以用權(quán)限驗證的方式對于用戶端提交的行為判斷,確定用戶的提交形式是符合我們的要求的。同樣的我們需要增加和方法。這種工作方式的原理類似與,客戶端發(fā)送請求到服務(wù)器端,服務(wù)器更新,通知客戶端,客戶端正確的顯示數(shù)據(jù)。
在之前的例子中,我都是使用的很小的demo,所有的測試都可以在客戶端直接對database進(jìn)行CURD.實(shí)際的項目中有可以需要對于用戶操作databse有一定的權(quán)限控制,在meteor中,最好的方法是通過自定義方法(call method)的形式,代替用戶端直接進(jìn)行,insert,update和remove。通過這種方式我們可以用權(quán)限驗證的方式對于用戶端提交的行為判斷,確定用戶的提交形式是符合我們的要求的。
移除 insecure每個meteor創(chuàng)建的項目,默認(rèn)是 insecure的 ,默認(rèn)是允許用戶在客戶端是可以更改database的,現(xiàn)在需要移除insecure
meteor remove insecure
Changes to your project"s package version selections: insecure removed from your project insecure: removed dependency
insecure成功移除,移除之后我們在Meteor.isClient中的insert,update,remove都無法使用了,因為不開啟insecure的應(yīng)用不能在客戶端直接更新database的數(shù)據(jù),需要使用下面的方法才可以更新database。
定義方法我們定義方法讓客戶端代碼可以操作數(shù)據(jù)庫,Meteor.methods用來定義方法的,他定義的方法可以不需要在client或者server里面,兩邊都可以訪問!
Meteor.methods({ addLanguage: function (text) { // auth //if (!Meteor.userId()) { // throw new Meteor.Error("need login"); //} Languages.insert({ name: text, createdAt: new Date() }); } });
再對update 和remove操作增加定義的方法:
updateLanguage: function (_id) { Languages.update(_id, { $set: {updateAt: new Date()} }) }, removeLanguage: function (_id) { Languages.remove(_id); }調(diào)用 Meteor.Methods
調(diào)用已經(jīng)定義的Meteor需要使用:Meteor.call
Template.body.events({ "submit .new-language": function (event) { event.preventDefault(); var text = event.target.text.value; Meteor.call("addLanguage", text); } });
Meteor.call的第一個參數(shù)是函數(shù)名字,第二個參數(shù)是需要傳的變量。同樣的我們需要增加update和delete方法。
現(xiàn)在insert,update和delete又可以正常的在工作了。
這種工作方式的原理類似與ajax,客戶端發(fā)送請求到服務(wù)器端,服務(wù)器更新database,通知客戶端,客戶端正確的顯示數(shù)據(jù)。
項目地址:https://github.com/jjz/meteor/tree/master/meteor-security
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/18828.html
摘要:通過這種方式我們可以用權(quán)限驗證的方式對于用戶端提交的行為判斷,確定用戶的提交形式是符合我們的要求的。同樣的我們需要增加和方法。這種工作方式的原理類似與,客戶端發(fā)送請求到服務(wù)器端,服務(wù)器更新,通知客戶端,客戶端正確的顯示數(shù)據(jù)。 在之前的例子中,我都是使用的很小的demo,所有的測試都可以在客戶端直接對database進(jìn)行CURD.實(shí)際的項目中有可以需要對于用戶操作databse有一定的權(quán)...
摘要:發(fā)布與訂閱在端使用函數(shù)注冊一個的發(fā)布者,需要在客戶端對進(jìn)行訂閱,使用訂閱了現(xiàn)在已經(jīng)添加的數(shù)據(jù)就會重新出現(xiàn)在頁面上。利用發(fā)布訂閱模式,我們也可以實(shí)現(xiàn)對于私有數(shù)據(jù)的訪問。 我們可以使用安全的方法讓用戶端不直接操作數(shù)據(jù)庫,但是還是可以直接讀取數(shù)據(jù)庫內(nèi)容,如果我們還需要保護(hù)私有的數(shù)據(jù)存儲,在客戶端直接使用Collection.find(),這樣的操作方式在實(shí)際的項目中并不會使用,這樣的數(shù)據(jù)無法...
摘要:發(fā)布與訂閱在端使用函數(shù)注冊一個的發(fā)布者,需要在客戶端對進(jìn)行訂閱,使用訂閱了現(xiàn)在已經(jīng)添加的數(shù)據(jù)就會重新出現(xiàn)在頁面上。利用發(fā)布訂閱模式,我們也可以實(shí)現(xiàn)對于私有數(shù)據(jù)的訪問。 我們可以使用安全的方法讓用戶端不直接操作數(shù)據(jù)庫,但是還是可以直接讀取數(shù)據(jù)庫內(nèi)容,如果我們還需要保護(hù)私有的數(shù)據(jù)存儲,在客戶端直接使用Collection.find(),這樣的操作方式在實(shí)際的項目中并不會使用,這樣的數(shù)據(jù)無法...
摘要:通過發(fā)布訂閱模式過濾數(shù)據(jù)現(xiàn)在我們已經(jīng)把應(yīng)用中比較敏感的代碼放到了一些方法里面,我們還需要學(xué)習(xí)安全故事的另一半內(nèi)容了。當(dāng)在客戶端被調(diào)用時傳入發(fā)布器名稱,客戶端將會從發(fā)布器訂閱所有的數(shù)據(jù)。這個按鈕應(yīng)該只是給任務(wù)的所有者來顯示。 通過發(fā)布訂閱模式過濾數(shù)據(jù) 現(xiàn)在我們已經(jīng)把應(yīng)用中比較敏感的代碼放到了一些方法里面,我們還需要學(xué)習(xí)Meteor安全故事的另一半內(nèi)容了。到現(xiàn)在為止,我們一直是假設(shè)整個整個...
閱讀 1025·2021-11-22 13:52
閱讀 936·2019-08-30 15:44
閱讀 580·2019-08-30 15:43
閱讀 2436·2019-08-30 12:52
閱讀 3484·2019-08-29 16:16
閱讀 645·2019-08-29 13:05
閱讀 2951·2019-08-26 18:36
閱讀 2006·2019-08-26 13:46