在没有视图的情况下保护 MEAN/NodeJS 应用程序
Securing a MEAN/NodeJS App without view
所以我写了一个平台来管理考试。检查存储在 mongodb 中,可通过 REST 访问。该视图未在该服务器上实现,但在另一个 server.js.
上运行
我的客户:
var express = require('express');
var app = express();
app.use(express.static(__dirname + '/public'));
app.listen('7777');
我的服务器:
var express = require('express');
var path = require('path');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var cors = require('cors');
var klausuren = require('./routes/klausuren');
var users = require('./routes/users');
var app = express();
var mongoose = require('mongoose');
mongoose.connect('mongodb://localhost/notenplattform');
var db = mongoose.connection;
db.on('error', function callback(){
console.log("Fehler bei Verbindung zu MongoDB!");
});
db.once('open', function callback(){
console.log("Verbindung zu MongoDB Erfoglreich!");
});
app.use(cors());
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use('/klausuren', klausuren);
app.use('/users', users);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
我的问题是:如何确保客户端和服务器的安全?我在网上找到的所有解决方案都需要节点 JS 的基本设置,其中视图由服务器本身提供服务,而不是在自己的客户端脚本中。
我真的不知道如何通过 Passport 和其他解决方案来实现这一点,过度使用 google 也无济于事。对不起初学者的问题!提前致谢!
只需使用 JWT(json 网络令牌),使用此工具,您可以在用户进行身份验证时生成令牌,而无需担心会话。
- 当用户尝试登录时,您从数据库username/password验证
- 为用户生成令牌并发送给他
- 用户在您希望对已登录用户保密的每个请求中发送此令牌,然后您验证它是否有效
如果您想了解更多信息,请查看 Authenticate a Node.js API with JSON Web Tokens 它有一个简单但有用的教程,希望对您有所帮助。
所以我写了一个平台来管理考试。检查存储在 mongodb 中,可通过 REST 访问。该视图未在该服务器上实现,但在另一个 server.js.
上运行我的客户:
var express = require('express');
var app = express();
app.use(express.static(__dirname + '/public'));
app.listen('7777');
我的服务器:
var express = require('express');
var path = require('path');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var cors = require('cors');
var klausuren = require('./routes/klausuren');
var users = require('./routes/users');
var app = express();
var mongoose = require('mongoose');
mongoose.connect('mongodb://localhost/notenplattform');
var db = mongoose.connection;
db.on('error', function callback(){
console.log("Fehler bei Verbindung zu MongoDB!");
});
db.once('open', function callback(){
console.log("Verbindung zu MongoDB Erfoglreich!");
});
app.use(cors());
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
app.use('/klausuren', klausuren);
app.use('/users', users);
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
我的问题是:如何确保客户端和服务器的安全?我在网上找到的所有解决方案都需要节点 JS 的基本设置,其中视图由服务器本身提供服务,而不是在自己的客户端脚本中。
我真的不知道如何通过 Passport 和其他解决方案来实现这一点,过度使用 google 也无济于事。对不起初学者的问题!提前致谢!
只需使用 JWT(json 网络令牌),使用此工具,您可以在用户进行身份验证时生成令牌,而无需担心会话。
- 当用户尝试登录时,您从数据库username/password验证
- 为用户生成令牌并发送给他
- 用户在您希望对已登录用户保密的每个请求中发送此令牌,然后您验证它是否有效
如果您想了解更多信息,请查看 Authenticate a Node.js API with JSON Web Tokens 它有一个简单但有用的教程,希望对您有所帮助。