Meteor - bezpieczeństwo

W tym rozdziale dowiemy się, jak zabezpieczyć naszą aplikację i co należy wziąć pod uwagę podczas jej tworzenia.

Automatyczne publikowanie i automatyczne zabezpieczanie

Autopublishto pakiet, który automatycznie publikuje wszystkie dane z bazy danych do klienta. Jest to wygoda, którą należy wyłączyć podczas produkcji. Można go wyłączyć z poziomu wiersza poleceń.

C:\Users\username\Desktop\meteorApp>meteor remove autopublish

Możesz opublikować niektóre dane klientowi za pomocą Meteor.publish() i Meteor.subscribe() metody, które omówimy w rozdziale Publikuj i Subskrybuj.

Insecureto pakiet umożliwiający pisanie poleceń MongoDB w konsoli programisty, dzięki czemu każdy użytkownik aplikacji ma dostęp do bazy danych. Pakiet można usunąć, uruchamiając następujące polecenie w wierszu polecenia.

C:\Users\username\Desktop\meteorApp>meteor remove insecure

Dobrą praktyką jest usunięcie obu pakietów zaraz po rozpoczęciu tworzenia aplikacji, aby nie trzeba było później zmieniać i aktualizować kodu.

Użyj metod po stronie serwera

Powinieneś zawsze tworzyć swoje metody na serwerze. Możesz to zrobić za pomocąMeteor.methods() na serwerze i Meteor.call()na klienta. Dowiemy się więcej na ten temat w rozdziale Metody.

Dodatkowe bezpieczeństwo

Jeśli chcesz dodać dodatkowe warstwy zabezpieczeń do swojej aplikacji, powinieneś rozważyć użycie innych pakietów Meteor, takich jak -

  • Zasady przeglądarki mogą służyć do kontrolowania zasobów zewnętrznych, które mają zostać załadowane do Twojej aplikacji.

  • Sprawdź pakiet może służyć do sprawdzania typów danych wejściowych użytkownika przed ich przetworzeniem.

  • Audit Arguments Check to pakiet, który zapewni prawidłowe sprawdzenie wszystkich parametrów przed przetworzeniem. Jeśli przegapiłeś niektóre parametry, ten pakiet poinformuje Cię o tym.

  • Pakiety mylarowe mogą dodawać dodatkowe warstwy bezpieczeństwa. Możesz je sprawdzić, jeśli potrzebujesz takiej ochrony.