说我有一个Meteor.method addCredits(user, amount),它将指定数量的信用额添加到用户帐户。那么什么阻止了潜在的黑客只扫描源代码,找到方法,并从客户端控制台调用它?
答案 0 :(得分:2)
确保用户只执行允许的方法,方法是检查服务器上方法中的this.userId。当用户登录并在所有方法中都可用时,该id将被设置。如果没有用户在方法内登录this.userId等于null。
管理用户帐户并将userId与连接相关联是使用帐户系统处理的,例如使用软件包' accounts-base'和'帐户 - 密码'。帐户系统记录在案here。
this.userId记录在案here。
如何限制方法执行的示例是here。
答案 1 :(得分:0)
没有什么可以阻止黑客这样做了。在该方法中,您必须检查用户是否已执行某些操作,使其有权调用该方法。