如果使用Accounts.changePassword(oldPassword, newPassword, [callback]),用户可以在浏览器控制台中将其密码更改为他想要的任何内容,因为此功能在客户端执行。 (我怎样才能禁用它?)
如果使用Accounts.setPassword(userId, newPassword, [options]),我必须将旧密码和新密码发送到服务器,如何避免以纯文本形式发送,以保护密码?
答案 0 :(得分:0)
旧密码和新密码不是通过网络发送的纯文本,它在手册中说明了这一点。密码在客户端编码,并通过加密的线路发送。
然而,changePassword()附带了accounts-password包,并没有在服务器上提供回调,也不允许配置设置来防止密码更改。如果您不希望在客户端上提供该密码,请不要安装帐户密码并推送自己的软件包。我不知道你为什么要那样做。