CouchDb中的安全性問題

Question

我看到CouchDb發生了一件奇怪的事情。 當我進入Futon頁面時，我看到需要登錄。 否則，如果我嘗試更改某些view功能，則會收到錯誤消息“ Error: anathorized 。 當我登錄時，該錯誤消失了。 因此，這似乎還可以。

不好的是，當我嘗試使用curl調用某些view而不提供user和password ，我沒有收到任何錯誤消息，但得到了一些結果。 我這樣做是這樣的：

curl -XGET 'http://127.0.0.1:5984/db/_design/query/_view/delete/?key="object_1_"'

該view ^^^應該返回一長串數據。 實際上是26行。 這就是我登錄時在Futon中看到的內容。但是由於curl命令，我得到了：

{"total_rows":26,"offset":25,"rows":[{"id":"...","key":"object_1_","value":"..."}]}

因此，如您所見，我得到一行數據。 我有幾個問題。 為什么在需要時CouchDb能夠在不提供user和password情況下進行自身查詢？ 為何返回如此奇怪的結果-total_rows = 26，但實際上只有一行。

PS。 Ubuntu 15.04，CouchDb 1.6.0

編輯

如果我這樣提供用戶名和密碼：

 curl 'http://user:password@....similar'

然后我仍然用一行數據得到這個奇怪的結果。

Answer 1

您沒有將數據庫限制為任何管理員，admin_roles，用戶或user_roles-因此ANYBODY有權訪問該數據庫。 這是默認值，在文檔中有說明。

為什么視圖確實返回“奇怪的結果”確實取決於您的視圖和查詢。