我在文档中读到了这个:
数据库无处不在。使用相同的透明API访问您的 来自客户端或服务器的数据库。
这很好,但我认为存在一些安全问题。在客户端提供对数据库的完全和透明访问,您将接触到不良用户,这些用户会修改您的JS代码(它实际上是在他的浏览器中并且他可以执行此操作)并添加任何可以检索/删除/更新数据的数据库操作可能是明智的。
如果我错了,请纠正我。 谢谢!
答案 0 :(得分:5)
你是对的。开发人员目前正致力于Auth和安全问题。截至目前,一切都是开放的,非常适合创建原型和测试应用程序,但是它们很容易被用户检索/删除/更新数据。
请在此处查看开发人员对此问题的回复:Link
答案 1 :(得分:3)
Meteor现在包含对客户端数据库写入(allow和deny)的限制以及完整的user accounts system。
答案 2 :(得分:2)
通过删除不安全和自动发布的软件包保护您的应用:
meteor remove insecure autopublish