Meteor中服务器端路由的身份验证
[英]Authentication on Server side routes in Meteor
问题描述
为服务器端路由验证用户的最佳方法(最安全和最简单)是什么?
软件/版本
我正在使用最新的Iron Router 1. *和Meteor 1. *并开始,我只是使用帐户密码。
参考代码
我有一个简单的服务器端路由,将pdf呈现给屏幕:
两者/ routes.js
Router.route('/pdf-server', function() {
var filePath = process.env.PWD + "/server/.files/users/test.pdf";
console.log(filePath);
var fs = Npm.require('fs');
var data = fs.readFileSync(filePath);
this.response.write(data);
this.response.end();
}, {where: 'server'});
举个例子,我想做一些接近SO答案建议的事情:
在服务器上:
var Secrets = new Meteor.Collection("secrets");
Meteor.methods({
getSecretKey: function () {
if (!this.userId)
// check if the user has privileges
throw Meteor.Error(403);
return Secrets.insert({_id: Random.id(), user: this.userId});
},
});
然后在客户端代码中:
testController.events({
'click button[name=get-pdf]': function () {
Meteor.call("getSecretKey", function (error, response) {
if (error) throw error;
if (response)
Router.go('/pdf-server');
});
}
});
但即使我以某种方式使这个方法工作,我仍然容易受到用户只是放入像'/ pdf-server'这样的URL,除非路由本身以某种方式检查了Secrets集合吗?
在路线中,我可以得到请求,并以某种方式获取标题信息?
Router.route('/pdf-server', function() {
var req = this.request;
var res = this.response;
}, {where: 'server'});
并且从客户端通过HTTP标头传递令牌,然后在路由中检查令牌是否来自Collection?
5 个解决方案
解决方案1
8 已采纳 2015-01-02 12:31:30
除了使用url令牌作为另一个答案,您还可以使用cookie:
添加一些允许您设置cookie并在服务器端读取它们的包:
meteor add mrt:cookies thepumpinglemma:cookies
然后你可以有一些东西,使你的cookie与你的登录状态同步
客户端
Tracker.autorun(function() {
//Update the cookie whenever they log in or out
Cookie.set("meteor_user_id", Meteor.userId());
Cookie.set("meteor_token", localStorage.getItem("Meteor.loginToken"));
});
服务器端
在服务器端,您只需要检查此cookie是否有效(使用铁路由器)
Router.route('/somepath/:fileid', function() {
//Check the values in the cookies
var cookies = new Cookies( this.request ),
userId = cookies.get("meteor_user_id") || "",
token = cookies.get("meteor_token") || "";
//Check a valid user with this token exists
var user = Meteor.users.findOne({
_id: userId,
'services.resume.loginTokens.hashedToken' : Accounts._hashLoginToken(token)
});
//If they're not logged in tell them
if(!user) return this.response.end("Not allowed");
//Theyre logged in!
this.response.end("You're logged in!");
}, {where:'server'});
解决方案2
6 2015-01-07 23:10:36
我认为我有一个安全而简单的解决方案,可以在IronRouter.route()中执行此操作。 必须在标头中使用有效的用户ID和身份验证令牌进行请求。 我在Router.route()中调用此函数,然后让我访问this.user,如果验证失败,则以401响应:
// Verify the request is being made by an actively logged in user
// @context: IronRouter.Router.route()
authenticate = ->
// Get the auth info from header
userId = this.request.headers['x-user-id']
loginToken = this.request.headers['x-auth-token']
// Get the user from the database
if userId and loginToken
user = Meteor.users.findOne {'_id': userId, 'services.resume.loginTokens.token': loginToken}
// Return an error if the login token does not match any belonging to the user
if not user
respond.call this, {success: false, message: "You must be logged in to do this."}, 401
// Attach the user to the context so they can be accessed at this.user within route
this.user = user
// Respond to an HTTP request
// @context: IronRouter.Router.route()
respond = (body, statusCode=200, headers) ->
this.response.statusCode statusCode
this.response.setHeader 'Content-Type', 'text/json'
this.response.writeHead statusCode, headers
this.response.write JSON.stringify(body)
this.response.end()
来自客户的类似的事情:
Meteor.startup ->
HTTP.get "http://yoursite.com/pdf-server",
headers:
'X-Auth-Token': Accounts._storedLoginToken()
'X-User-Id': Meteor.userId()
(error, result) -> // This callback triggered once http response received
console.log result
这段代码深受RestStop和RestStop2的启发。 它是在Meteor 0.9.0+(构建在Iron Router之上)编写REST API的流星包的一部分。 您可以在这里查看完整的源代码:
解决方案3
5 2015-01-01 22:57:05
由于服务器端路由充当简单的REST端点,因此它们无法访问用户身份验证数据(例如,他们无法调用Meteor.user() )。 因此,您需要设计另一种身份验证方案。 实现这一目标的最直接的方法是通过这里和这里讨论的某种形式的密钥交换。
示例实现:
服务器/ app.js
// whenever the user logs in, update her apiKey
Accounts.onLogin(function(info) {
// generate a new apiKey
var apiKey = Random.id();
// add the apiKey to the user's document
Meteor.users.update(info.user._id, {$set: {apiKey: apiKey}});
});
// auto-publish the current user's apiKey
Meteor.publish(null, function() {
return Meteor.users.find(this.userId, {fields: {apiKey: 1}});
});
LIB / routes.js
// example route using the apiKey
Router.route('/secret/:apiKey', {name: 'secret', where: 'server'})
.get(function() {
// fetch the user with this key
// note you may want to add an index on apiKey so this is fast
var user = Meteor.users.findOne({apiKey: this.params.apiKey});
if (user) {
// we have authenticated the user - do something useful here
this.response.statusCode = 200;
return this.response.end('ok');
} else {
// the key is invalid or not provided so return an error
this.response.statusCode = 403;
return this.response.end('not allowed');
}
});
客户机/ app.html
<template name="myTemplate">
{{#with currentUser}}
<a href="{{pathFor route='secret'}}">secret</a>
{{/with}}
</template>
笔记
Make
/secret仅可通过HTTPS访问。虽然用户请求
/secret很可能是当前连接的,但不能保证她是。 用户可能已登录,复制了她的密钥,关闭了选项卡,并在稍后的某个时间启动了请求。这是一种简单的用户身份验证方法。 如果服务器路由显示高价值数据(SSN,信用卡等),我会探索更复杂的机制(参见上面的链接)。
有关从服务器发送静态内容的更多详细信息,请参阅此问题 。
解决方案4
1 2017-11-16 15:41:01
我真的相信使用HTTP标头是解决这个问题的最佳方案,因为它们很简单,不需要搞乱使用cookie或开发新的身份验证方案。
我喜欢@ kahmali的答案,所以我写了它与WebApp和简单的XMLHttpRequest一起工作。 这已在Meteor 1.6上测试过。
客户
import { Meteor } from 'meteor/meteor';
import { Accounts } from 'meteor/accounts-base';
// Skipping ahead to the upload logic
const xhr = new XMLHttpRequest();
const form = new FormData();
// Add files
files.forEach((file) => {
form.append(file.name,
// So BusBoy sees as file instead of field, use Blob
new Blob([file.data], { type: 'text/plain' })); // w/e your mime type is
});
// XHR progress, load, error, and readystatechange event listeners here
// Open Connection
xhr.open('POST', '/path/to/upload', true);
// Meteor authentication details (must happen *after* xhr.open)
xhr.setRequestHeader('X-Auth-Token', Accounts._storedLoginToken());
xhr.setRequestHeader('X-User-Id', Meteor.userId());
// Send
xhr.send(form);
服务器
import { Meteor } from 'meteor/meteor';
import { WebApp } from 'meteor/webapp';
import { Roles } from 'meteor/alanning:roles'; // optional
const BusBoy = require('connect-busboy');
const crypto = require('crypto'); // built-in Node library
WebApp.connectHandlers
.use(BusBoy())
.use('/path/to/upload', (req, res) => {
const user = req.headers['x-user-id'];
// We have to get a base64 digest of the sha256 hashed login token
// I'm not sure when Meteor changed to hashed tokens, but this is
// one of the major differences from @kahmali's answer
const hash = crypto.createHash('sha256');
hash.update(req.headers['x-auth-token']);
// Authentication (is user logged-in)
if (!Meteor.users.findOne({
_id: user,
'services.resume.loginTokens.hashedToken': hash.digest('base64'),
})) {
// User not logged in; 401 Unauthorized
res.writeHead(401);
res.end();
return;
}
// Authorization
if (!Roles.userIsInRole(user, 'whatever')) {
// User is not authorized; 403 Forbidden
res.writeHead(403);
res.end();
return;
}
if (req.busboy) {
// Handle file upload
res.writeHead(201); // eventually
res.end();
} else {
// Something went wrong
res.writeHead(500); // server error
res.end();
}
});
我希望这可以帮助别人!
解决方案5
0 2017-05-24 14:30:38
由于Meteor不使用会话cookie,因此客户端在向服务器路由发出HTTP请求时必须明确包含某种用户标识。
最简单的方法是在URL的查询字符串中传递userId。 显然,您还需要添加一个安全令牌,以证明用户确实是他们的主张。 获取此标记可以通过Meteor方法完成。
Meteor本身并不提供这样的机制,因此您需要一些自定义实现。 我写了一个名为mhagmajer:server-route包mhagmajer:server-route ,经过了彻底的测试。 您可以在此处了解更多信息: https : //blog.hagmajer.com/server-side-routing-with-authentication-in-meteor-6625ed832a94
流星中间件和服务器端路由
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.