如何在我的应用程序中保护我的快速“GET”路线,以便电子邮件和用户数据不会暴露给未经授权的客户端。 我想知道,我应该像使用密码一样散列所有字段吗?
我的GET“/ users”路由发送这样的JSON ..
{
"name": "keven",
"email": "keveng@gmail.com",
"user": "keven",
"password": "EEOnGFritH1631671dc8da7431399f824b3925a49e",
"country": "America",
"date": "April 20th 2013, 10:34:22 pm",
"_id": "5173502e5g52676c1b000001"
}
在我的骨干和节点/快递应用程序中,我的主干集合中有一个URL,就像这样..
Users = Backbone.Collection.extend({
model: User,
url: '/users',
});
快递路线是这样的:
app.get('/users', function(req, res){
User.find({}, function (err, accounts) {
res.send(accounts);
});
});
感谢。
答案 0 :(得分:5)
虽然这并不理想,但如果每个请求都在发送用户和密码,那么您只需要一些中间件来执行身份验证& node.js应用程序中的授权。
认证功能:
function authenticate(user, password, fn) {
// Trivial, but not recommended
User.findOne({user: user, password: password}, function (err, user) {
if (err) {
return fn(err);
}
if (!user) {
return fn(new Error('no such user'));
}
return fn(null, user);
});
}
授权中间件功能,它依赖于身份验证:
function authorize(req, res, next) {
authenticate(req.params.user, req.params.password, function(err, user) {
if (err) {
res.redirect('/login');
}
// Probably other logic her to determine now *what* they can do
return next(null, user);
});
}
现在,由于您使用的是Express,因此您可以在路由中使用授权中间件来限制访问:
app.get('/users', authorize, function(req, res){
// Can only get here if allowed
User.find({}, function (err, accounts) {
res.send(accounts);
});
});
但请注意,这将针对每个请求搜索用户 - 这是我说它不理想的原因之一。 为了正确的系统安全设计,您应该考虑使用http基本身份验证,基于会话的cookie或oauth。
以下是一些供您查看的链接: