我是一个刚刚进入服务器端 JavaScript 世界的客户端人员。我对如何构建我的第一个 Nodejs 应用程序有了这个想法。我想要一个几乎只提供空壳和大量 JSON 的服务器端。我想将其余的逻辑放在配备 Backbone.js 的前端中。
所以我快速启动了一个小应用程序(代码在底部),我有几个问题。
session 变量安全吗?我可以使用 session 变量来存储稍后读取以获取敏感日期的用户标识符吗?是否可以修改 session 变量,以便在我的情况下,一个用户可以获取另一个用户的数据?
以我在“/profile”路线上的方式提供 JSON 是否有意义。在我的应用程序中,会有很多类似的路线。从数据库中获取某些内容并将其作为 JSON 提供给客户端的路由。
看看我的代码,你有什么提示或技巧吗?我应该做不同的事情。我可能应该看看的模块?
我关于几乎只有 JSON 的后端的想法有意义吗?
我的申请如下。
var facebook = {
'appId' : "my app id",
'appSecret' : "my app secret",
'scope' : "email",
'callback' : "http://localhost:2000/"
}
var express = require('express');
var MongoStore = require('connect-mongo');
var auth = require('connect-auth')
var UserProvider = require('./providers/user').UserProvider;
var app = module.exports = express.createServer();
// Configuration
app.configure(function(){
app.set('views', __dirname + '/views');
app.set('view engine', 'jade');
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(express.cookieParser());
app.use(auth([auth.Facebook(facebook)]));
app.use(express.session({secret: 'my secret',store: new MongoStore({db: 'app'})}));
app.use(express.compiler({ src: __dirname + '/public', enable: ['less'] }));
app.use(app.router);
app.use(express.static(__dirname + '/public'));
});
app.configure('development', function(){
app.use(express.errorHandler({ dumpExceptions: true, showStack: true }));
});
app.configure('production', function(){
app.use(express.errorHandler());
});
// Providers
var UserProvider = new UserProvider('localhost', 27017);
// Routes
app.get('/', function( request, response ) {
if( !request.session.userId ) {
request.authenticate(['facebook'], function(error, authenticated) {
if( authenticated ) {
request.session.userId = request.getAuthDetails().user.id;
}
});
}
response.render( 'index.jade' );
});
app.get('/profile', function( request, response ) {
response.contentType('application/json');
if( request.session.userId ){
UserProvider.findById( request.session.userId, function( error, user ){
var userJSON = JSON.stringify( user );
response.send( userJSON );
});
} else {
response.writeHead(303, { 'Location': "/" });
}
});
app.get('/logout', function( request, response, params ) {
request.session.destroy();
request.logout();
response.writeHead(303, { 'Location': "/" });
response.end('');
});
app.listen(2000);
console.log("Express server listening on port %d in %s mode", app.address().port, app.settings.env);
最佳答案
我认为你的想法是正确的,尽管我会抛出一些想法:
- 定义路由 - 如果您定义了很多路由,尤其是使用 JSON,您可能希望通过 MVC 类型框架动态定义它们。你可以找到一个很好的例子in the express samples here .它将为您节省大量手写路由,并且您可以将 Node 对象作为 JSON 传递回客户端,而无需在服务器端做很多其他事情。
- 服务器上的主干 - 如果你想更疯狂一点(我从未使用过这种技术),Development Seed已经构建了一个名为 bones 的框架那uses backbone on the server side .
- 登录示例 - 有a good tutorial over at DailyJS关于用户 session 管理。
- 可访问性 - 只要您没有可访问性问题,通过 REST API 提供数据是有意义的。如果您必须担心 508 合规性或其他 javascript 限制,您可能会遇到问题。
至于安全性,将 session 超时设置为较低的值并选择适当的 key 可能会大大有助于确保某人无法生成 session cookie(默认情况下,实际数据不会存储在客户端上) )。我不确定 node.js 使用什么算法来生成 session cookie。以下是 express session middleware 的一些详细信息.
关于javascript - 如何在服务器端构建 Node、Express、Connect-Auth 和 Backbone 应用程序?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7814794/