客户端JavaScript和数据库交互

时间:2013-08-28 11:57:24

标签: javascript node.js odata

我在一个大型项目上工作了大约4个月。 我们经常质疑“领导”。

项目规则(来自没有IT背景的客户)

  1. 仅使用JavaScript(用于CRUD的Kendo UI包)。
  2. 使用SSO - ADFSv2 / ACS
  3. 进行“保护”
  4. 必须使用Odata与数据库进行交互。
  5. 如果我错了,请纠正我,但这并不意味着

    • 甲。这显然是不安全的。 (初次登录后)
    • B中。如果必须更新多个表,Kendo如何(正确地)处理数据库交互?

    还有另一个程序员正在处理类似的项目,他正在使用Node.js作为与数据库交互的Web应用程序。 这不是一个类似的问题吗? 这个客户端CRUD如何准确地运行安全性?

1 个答案:

答案 0 :(得分:0)

如果我错了,请纠正我,但在我看来,您认为javascript直接访问数据库。

为此,我看到,Javascript仅用于管理UI,并与服务器联系(使用Ajax?)来更新/创建/删除实体。

这不是不安全的,但开发人员必须确保允许所请求的用户的操作(在服务器端)。

示例:对于https://myServer/myApp/Person/1这样的DELETE请求的网址,用户可以修改此网址,如https://myServer/myApp/Person/6https://myServer/myApp/Work/1
因此,必须验证用户是否可以删除id = 6的Person或id = 1的Work。