对于我在脚本中使用的 mongoose.connect('mongodb://username:password@host:port/database?options...');
,我不认为有什么真正的方法可以隐藏密码吗?
如果 Mongodb 仅监听 127.0.0.1,我是否应该担心?如果我的服务器可以被利用,那么他们可以直接捕获该脚本来获取密码。
最佳答案
您可以在启动 Node 时将密码放入环境变量中,或者从未 checkin 源代码管理的文件中读取密码。如果 mongodb 仅在本地主机上监听,则攻击者将无法从远程计算机直接连接到数据库。仍然建议将防火墙配置为阻止远程访问,以防某些配置更改公开打开 mongodb。
关于node.js - Mongoose 在 URI 中隐藏密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34668804/