Meteor中用于控制用户访问某些敏感页面的标准做法是什么?例如,只有具有Admin
级别的用户才能访问CRUD操作,那么阻止/允许用户访问这些页面的最佳方法是什么?
我知道我们可以publish
用来限制用户对数据的可访问性,但是对于页面,最好的方法是什么?
我正在考虑在渲染过程中检查用户级别,但是同样,我不确定此方法是否安全。
有目前没有拒绝访问的方法页,作为整个客户端代码打包,并将其作为一个应用程序。由于限制页面的代码位于浏览器中,因此用户可以轻松访问该页面。
您可以做的是限制对这些页面上显示的数据的访问。有两件事要做:
指定用户可以看到的数据。这是通过publish和subscription方法完成的。在该Meteor.publish
方法中,您可以检查用户权限并确定用户可以看到的对象以及这些对象的哪些字段。
指定用户可以更改的数据。如另一个答案中所述,这是通过Collection.allow
和Collection.deny
方法实现的,通过和方法,您可以检查每个CRUD操作的用户权限并确定是否允许该权限。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句