软件/版本

我正在使用最新的Iron Router 1. *和Meteor 1. *并开始，我只是使用帐户密码。

参考代码

我有一个简单的服务器端路由，可以将pdf呈现给屏幕：

两者/ routes.js

Router.route('/pdf-server', function() {
  var filePath = process.env.PWD + "/server/.files/users/test.pdf";
  console.log(filePath);
  var fs = Npm.require('fs');
  var data = fs.readFileSync(filePath);
  this.response.write(data);
  this.response.end();
}, {where: 'server'});

举个例子，我想做一些接近this SO answer suggested：

的事情

在服务器上：

var Secrets = new Meteor.Collection("secrets"); 

Meteor.methods({
  getSecretKey: function () {
    if (!this.userId)
      // check if the user has privileges
      throw Meteor.Error(403);
    return Secrets.insert({_id: Random.id(), user: this.userId});
  },
});

然后在客户端代码中：

testController.events({
  'click button[name=get-pdf]': function () {
      Meteor.call("getSecretKey", function (error, response) {
        if (error) throw error;

        if (response) 
          Router.go('/pdf-server');
      });
  }
});

但即使我以某种方式使这个方法有效，我仍然容易受到用户只是放入像'/ pdf-server'这样的URL，除非路由本身以某种方式检查了Secrets集合吗？

在路线中，我可以得到请求，并以某种方式获取标题信息？

Router.route('/pdf-server', function() {
  var req = this.request;
  var res = this.response;
}, {where: 'server'});

从客户端通过HTTP标头传递一个令牌，然后在路由中检查令牌是否来自Collection？

Answer 1

除了使用url令牌作为另一个答案，你还可以使用cookies：

添加一些允许您设置cookie并在服务器端读取它们的包：

meteor add mrt:cookies thepumpinglemma:cookies

然后，您可以将Cookie与登录状态同步的内容

客户端

Tracker.autorun(function() {
     //Update the cookie whenever they log in or out
     Cookie.set("meteor_user_id", Meteor.userId());
     Cookie.set("meteor_token", localStorage.getItem("Meteor.loginToken"));
});

服务器端

在服务器端，您只需要检查此cookie是否有效（使用铁路由器）

Router.route('/somepath/:fileid', function() {

   //Check the values in the cookies
   var cookies = new Cookies( this.request ),
       userId = cookies.get("meteor_user_id") || "",
       token = cookies.get("meteor_token") || "";

   //Check a valid user with this token exists
   var user = Meteor.users.findOne({
       _id: userId,
       'services.resume.loginTokens.hashedToken' : Accounts._hashLoginToken(token)
   });

   //If they're not logged in tell them
   if(!user) return this.response.end("Not allowed");

   //Theyre logged in!
   this.response.end("You're logged in!");

}, {where:'server'});

Answer 2

我认为我有一个安全而简单的解决方案，可以在IronRouter.route（）中执行此操作。必须在标头中使用有效的用户ID和身份验证令牌进行请求。我在Router.route（）中调用此函数，然后让我访问this.user，如果验证失败，则以401响应：

//  Verify the request is being made by an actively logged in user
//  @context: IronRouter.Router.route()
authenticate = ->
  // Get the auth info from header
  userId = this.request.headers['x-user-id']
  loginToken = this.request.headers['x-auth-token']

// Get the user from the database
if userId and loginToken
  user = Meteor.users.findOne {'_id': userId, 'services.resume.loginTokens.token': loginToken}

// Return an error if the login token does not match any belonging to the user
if not user
  respond.call this, {success: false, message: "You must be logged in to do this."}, 401

// Attach the user to the context so they can be accessed at this.user within route
this.user = user


//  Respond to an HTTP request
//  @context: IronRouter.Router.route()
respond = (body, statusCode=200, headers) ->
  this.response.statusCode statusCode
  this.response.setHeader 'Content-Type', 'text/json'
  this.response.writeHead statusCode, headers
  this.response.write JSON.stringify(body)
  this.response.end()

来自客户的类似内容：

Meteor.startup ->

  HTTP.get "http://yoursite.com/pdf-server",
    headers:
      'X-Auth-Token': Accounts._storedLoginToken()
      'X-User-Id': Meteor.userId()
    (error, result) ->  // This callback triggered once http response received         
      console.log result

这段代码深受RestStop和RestStop2的启发。它是在Meteor 0.9.0+（构建在Iron Router之上）编写REST API的流星包的一部分。您可以在这里查看完整的源代码：

https://github.com/krose72205/meteor-restivus

Answer 3

由于服务器端路由充当简单的REST端点，因此无法访问用户身份验证数据（例如，他们无法调用Meteor.user()）。因此，您需要设计另一种身份验证方案。实现这一目标的最直接方式是使用某种形式的密钥交换，如here和here所述。

示例实施：

服务器/ app.js

// whenever the user logs in, update her apiKey Accounts.onLogin(function(info) { // generate a new apiKey var apiKey = Random.id(); // add the apiKey to the user's document Meteor.users.update(info.user._id, {$set: {apiKey: apiKey}}); }); // auto-publish the current user's apiKey Meteor.publish(null, function() { return Meteor.users.find(this.userId, {fields: {apiKey: 1}}); });

<强> LIB / routes.js

// example route using the apiKey Router.route('/secret/:apiKey', {name: 'secret', where: 'server'}) .get(function() { // fetch the user with this key // note you may want to add an index on apiKey so this is fast var user = Meteor.users.findOne({apiKey: this.params.apiKey}); if (user) { // we have authenticated the user - do something useful here this.response.statusCode = 200; return this.response.end('ok'); } else { // the key is invalid or not provided so return an error this.response.statusCode = 403; return this.response.end('not allowed'); } });

<强>的客户机/ app.html

<template name="myTemplate"> {{#with currentUser}} <a href="{{pathFor route='secret'}}">secret</a> {{/with}} </template>

备注

只能通过HTTPS访问/secret。

虽然请求/secret的用户当前很可能已连接，但无法保证她是。用户可能已登录，复制了她的密钥，关闭了标签，并在稍后的某个时间发起了请求。

这是一种简单的用户身份验证方式。如果服务器路由显示高价值数据（SSN，信用卡等），我会探索更复杂的机制（参见上面的链接）。

有关从服务器发送静态内容的详细信息，请参阅this question。

Answer 4

我确信使用HTTP标头是解决此问题的最佳方法，因为它们非常简单，并且不需要搞乱使用Cookie或开发新的身份验证方案。

我喜欢@ kahmali的回答，因此我将其编写为使用WebApp和简单的XMLHttpRequest。这已经在Meteor 1.6上进行了测试。

<强>客户端

import { Meteor } from 'meteor/meteor';
import { Accounts } from 'meteor/accounts-base';

// Skipping ahead to the upload logic
const xhr = new XMLHttpRequest();
const form = new FormData();

// Add files
files.forEach((file) => {
  form.append(file.name,
    // So BusBoy sees as file instead of field, use Blob
    new Blob([file.data], { type: 'text/plain' })); // w/e your mime type is
});

// XHR progress, load, error, and readystatechange event listeners here

// Open Connection
xhr.open('POST', '/path/to/upload', true);

// Meteor authentication details (must happen *after* xhr.open)
xhr.setRequestHeader('X-Auth-Token', Accounts._storedLoginToken());
xhr.setRequestHeader('X-User-Id', Meteor.userId());

// Send
xhr.send(form);

服务器

import { Meteor } from 'meteor/meteor'; import { WebApp } from 'meteor/webapp'; import { Roles } from 'meteor/alanning:roles'; // optional const BusBoy = require('connect-busboy'); const crypto = require('crypto'); // built-in Node library WebApp.connectHandlers .use(BusBoy()) .use('/path/to/upload', (req, res) => { const user = req.headers['x-user-id']; // We have to get a base64 digest of the sha256 hashed login token // I'm not sure when Meteor changed to hashed tokens, but this is // one of the major differences from @kahmali's answer const hash = crypto.createHash('sha256'); hash.update(req.headers['x-auth-token']); // Authentication (is user logged-in) if (!Meteor.users.findOne({ _id: user, 'services.resume.loginTokens.hashedToken': hash.digest('base64'), })) { // User not logged in; 401 Unauthorized res.writeHead(401); res.end(); return; } // Authorization if (!Roles.userIsInRole(user, 'whatever')) { // User is not authorized; 403 Forbidden res.writeHead(403); res.end(); return; } if (req.busboy) { // Handle file upload res.writeHead(201); // eventually res.end(); } else { // Something went wrong res.writeHead(500); // server error res.end(); } });

我希望这有助于某人！

Answer 5

由于Meteor不使用会话cookie，因此客户端在向服务器路由发出HTTP请求时必须明确包含某种用户标识。

最简单的方法是在URL的查询字符串中传递userId。显然，您还需要添加一个安全令牌，以证明用户确实是他们的主张。获取此标记可以通过Meteor方法完成。

Meteor本身并不提供这样的机制，因此您需要一些自定义实现。我写了一个名为dgvMatchErrors.DataSource = dsTest.Tables[0]; messagebox.show(dgvMatcherrors.rows) (shows 0的Meteor软件包，经过全面测试。您可以在此处了解详情：https://blog.hagmajer.com/server-side-routing-with-authentication-in-meteor-6625ed832a94

Meteor中服务器端路由的身份验证

软件/版本

参考代码

5 个答案:

备注