如何在Backbone和Express中保护Restful路由?

时间:2013-04-23 00:43:05

标签: node.js rest backbone.js express

如何在我的应用程序中保护我的快速“GET”路线,以便电子邮件和用户数据不会暴露给未经授权的客户端。 我想知道,我应该像使用密码一样散列所有字段吗?

我的GET“/ users”路由发送这样的JSON .. 

 {
 "name": "keven",
 "email": "keveng@gmail.com",
 "user": "keven",
 "password": "EEOnGFritH1631671dc8da7431399f824b3925a49e",
 "country": "America",
 "date": "April 20th 2013, 10:34:22 pm",
 "_id": "5173502e5g52676c1b000001"
  }

在我的骨干和节点/快递应用程序中,我的主干集合中有一个URL,就像这样.. 

Users = Backbone.Collection.extend({
model: User,
url: '/users',
});

快递路线是这样的:

app.get('/users', function(req, res){
User.find({}, function (err, accounts) {
res.send(accounts);
});
});

感谢。

1 个答案:

答案 0 :(得分:5)

虽然这并不理想,但如果每个请求都在发送用户和密码,那么您只需要一些中间件来执行身份验证& node.js应用程序中的授权。

认证功能:

function authenticate(user, password, fn) {
  // Trivial, but not recommended
  User.findOne({user: user, password: password}, function (err, user) {
    if (err) {
      return fn(err);
    }
    if (!user) {
      return fn(new Error('no such user'));
    }

    return fn(null, user);
  });
}

授权中间件功能,它依赖于身份验证:

function authorize(req, res, next) {
  authenticate(req.params.user, req.params.password, function(err, user) {
    if (err) {
      res.redirect('/login');
    }

    // Probably other logic her to determine now *what* they can do

    return next(null, user);
  });
}

现在,由于您使用的是Express,因此您可以在路由中使用授权中间件来限制访问:

app.get('/users', authorize, function(req, res){
  // Can only get here if allowed
  User.find({}, function (err, accounts) {
    res.send(accounts);
  });
});

但请注意,这将针对每个请求搜索用户 - 这是我说它不理想的原因之一。 为了正确的系统安全设计,您应该考虑使用http基本身份验证,基于会话的cookie或oauth。

以下是一些供您查看的链接:

相关问题
最新问题