保护我的非规范化流星评级系统

时间:2014-09-20 12:38:24

标签: javascript mongodb security meteor denormalization

这是一个艰难的(对我来说)和罗嗦的一个:

我正在接受整个Mongo非规范化的事情。我创建了一个评级系统,用户可以对其他人进行评分。视频。要获得视频的平均分数,每次用户"评论&#时,0到10之间的数字会直接添加到视频文档中的分数字段中(在名为"条目"的集合中) 34;它(使用meteor.methods upsert)。当然,条目的平均分是所有这些评分的总和除以评论总数。无论如何,我在一个单独的集合中记录每个评论。

我的问题是......我不知道如何安全地写这个。没有什么可以阻止某人在总和上添加一个大于10或小于0的数字(或重复添加一个可接受的数字)。

你能帮忙吗?也许如果我说了类似"如果您尝试更新评论总和的新号码(在条目文档中)不等于此条目的所有评论的总和,则会抛出错误在评论集合...加上你的最新分数。"但如果这是正确的,那该书是怎么回事?

这是共享的客户端/服务器代码:

//update reviews
Meteor.methods({
  reviewUpsert: function(id, doc) {
    if (!this.userId) {
      throw new Meteor.Error(403, "You must be logged in to do that.");
    }
    if (Meteor.users.findOne(this.userId).emails[0].verified !== true) {
      throw new Meteor.Error(403, "Your email must be verified to review. Check your email inbox.")
    }
    if (Meteor.user().status === "suspended") {
      throw new Meteor.Error(403, "Cannot perform this action while account is suspended.")
    }
    var review = Reviews.findOne(id);
    if (review && doc.reviewer !== this.userId) {
      throw new Meteor.Error(403, "You don't own that review.");
    }
    if (doc.reviewer !== this.userId) {
      throw new Meteor.Error(403, "Cannot create a review for someone else.");
      // alternatively, just set doc.owner = this.userId
    }
    Reviews.upsert(id, doc);
  }
});

//update entry score
Meteor.methods({
    entryScoreUpdate: function(id, doc) {
        Entries.update(id, doc);
    }
});

以下是相关的客户端代码:

  Meteor.call('reviewUpsert',
    Reviews.findOne({unique_review: reviewer_and_entry}, {}, function(err, result){
      if (result) {
        return result._id;
      }
      if (!result) {
        return null;
      }
    }),
    {date: new Date(), reviewer: Meteor.userId(), entry: Session.get('entryId'), title: entrytitle.title, unique_review: reviewer_and_entry, reviewername: Meteor.user().username, review: reviewfield, score: parseInt(scorefield)}, function(err){
      if (err)
        Alerts.add('Review error: ' + err.reason, 'warning');
      else {
          var reviewAdd = parseInt(scorefield) - lastscore;
          Meteor.call('entryScoreUpdate',         
            {_id: Session.get('entryId')}, {$inc: {reviewsum: reviewAdd, reviewcount: incCount}},
            function(err){
              if (err)
                Alerts.add('Review error: ' + err.reason, 'warning');
              else {
                  var entryforavg = Entries.findOne(Session.get('entryId'));
                  Meteor.call('entryScoreUpdate',         
                    {_id: Session.get('entryId')}, {$set: {avgScore: Number(((entryforavg.reviewsum/entryforavg.reviewcount)*10).toFixed(2))}},
                    function(err){
                      if (err)
                        Alerts.add('Review error: ' + err.reason, 'warning');
                      else {
                        Alerts.add('Review has been updated.', 'success'),
                        Session.set("formStatus", 'oldForm');
                      }
                    }
                  );
              }
            }
          );
      }
    }
  );

2 个答案:

答案 0 :(得分:1)

这个怎么样:

Meteor.methods({
    reviewUpsert : function(id, doc){
        ...
        if( (doc.rating > 10) || (doc.rating < 0) ){
            throw new Meteor.Error( ... )
        }
    }
})

至于阻止同一位用户反复输入评分,您必须跟踪哪些用户评分了哪些视频并更新了评级,而不是盲目地添加新评级。

答案 1 :(得分:0)

我终于明白了。我不需要将entry.update作为自己的Meteor.method来调用客户端。我可以在服务器上运行Entries.update,在&#34; reviewsupsert&#34;方法。这样我就永远不会让用户有权编辑其他用户&#39;视频。他们只是编辑他们的评论,服务器会修改视频的平均值。

相关问题
最新问题