您如何应用路由的安全原则?
这必须在客户端完成。这是否意味着没有安全的方法可以将某些路由限制为特定用户。我知道 Meteor.Router 中的过滤器,但它们是在客户端定义的。
这是在 this comment 中提出的问题来自 curious2learn .
最佳答案
不幸的是,您是对的,目前没有安全的方法来限制特定用户的路由。
在当前版本的 Meteor 中,整个客户端代码会一次性发送给所有用户。这意味着所有的 View 和模板都在那里,有兴趣的用户会找到一种方式来显示它们。
这当然并不意味着您不应该保护它们,以免非特权用户意外输入它们,您可以通过路由器过滤器或通过条件打包整个模板轻松做到这一点。这只是意味着您不应该相信谁看到了模板,因此您不应该将硬编码的敏感数据放在一起。再次,永远不要相信客户 ,甚至你自己的代码(它可以被篡改)。
您唯一可以控制的是将在所述模板中获取和显示的数据。
关于security - 将 Meteor.js 中的路由限制为特权用户,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/17874926/