Meteor - Bảo mật

Trong chương này, chúng ta sẽ tìm hiểu cách bảo mật ứng dụng của mình và những điều cần lưu ý khi phát triển ứng dụng.

Tự động xuất bản và Tự động bảo mật

Autopublishlà một gói tự động xuất bản tất cả dữ liệu từ cơ sở dữ liệu đến máy khách. Đây là một tiện lợi nên bị vô hiệu hóa khi sản xuất. Nó có thể bị vô hiệu hóa từ dấu nhắc lệnh.

C:\Users\username\Desktop\meteorApp>meteor remove autopublish

Bạn có thể xuất bản một số dữ liệu cho khách hàng bằng cách sử dụng Meteor.publish()Meteor.subscribe() phương pháp mà chúng tôi sẽ đề cập trong chương Xuất bản và Đăng ký.

Insecurelà một gói cho phép viết các lệnh MongoDB trong bảng điều khiển của nhà phát triển để mọi người dùng ứng dụng đều có thể truy cập cơ sở dữ liệu. Gói có thể được gỡ bỏ bằng cách chạy lệnh sau trong dấu nhắc lệnh.

C:\Users\username\Desktop\meteorApp>meteor remove insecure

Thực tiễn tốt là xóa cả hai gói ngay khi bạn bắt đầu phát triển ứng dụng của mình, để bạn không phải thay đổi và cập nhật mã của mình sau này.

Sử dụng phương pháp phía máy chủ

Bạn nên luôn tạo các phương thức của mình trên máy chủ. Bạn có thể làm điều đó bằng cách sử dụngMeteor.methods() trên máy chủ và Meteor.call()trên máy khách. Chúng ta sẽ tìm hiểu thêm về điều này trong chương Phương pháp.

Bảo mật bổ sung

Nếu bạn muốn thêm các lớp bảo mật bổ sung cho ứng dụng của mình, bạn nên cân nhắc sử dụng một số gói Meteor khác như:

  • Chính sách trình duyệt có thể được sử dụng để kiểm soát các tài nguyên bên ngoài sẽ được tải vào ứng dụng của bạn.

  • Gói kiểm tra có thể được sử dụng để kiểm tra các loại đầu vào của người dùng trước khi chúng được xử lý.

  • Kiểm tra đối số Kiểm tra là một gói sẽ đảm bảo tất cả các tham số được kiểm tra chính xác trước khi xử lý. Nếu bạn bỏ lỡ một số thông số, gói này sẽ thông báo cho bạn.

  • Các gói Mylar có thể thêm một số lớp bảo mật bổ sung. Bạn có thể kiểm tra chúng nếu bạn cần loại bảo vệ đó.