javascript - 是否有优化的网络堆栈以最小化服务器端编码？

Question

对于我们公司内部网上的几个最近的项目，我使用了一个非常简单的 nginx + redis + webdis 堆栈。 + 客户端javascript实现一些简单的数据分析工具。这次体验绝对精彩，尤其是与我之前使用其他堆栈(包括自定义 c++、apache/mod_perl、ASP.Net MVC、.Net HttpListener、Ruby on Rails 和一些 Node.js)的体验相比。 js).鉴于客户端模板工具和前端库(如 jquery-ui)的可用性，我似乎可以很高兴地使用这样一个无服务器端代码堆栈(可能用 couchdb 替换/增强 redis)来实现更复杂的 web 应用程序如果有必要)...

当然，这个堆栈的主要限制是我的数据库直接暴露在网络上——在这种情况下，在有防火墙的公司网络上是可以接受的，但如果我想在互联网上使用相同的技术，这不是一个真正的选择.我需要某种程度的服务器端逻辑来安全地处理身份验证和用户 Angular 色管理。

是否有任何最佳实践或通用开发堆栈？理想情况下，我想要一些轻量级的东西，并为我提供一个简单的框架，用于在将客户端请求转发到数据库后端之前通过我的自定义用户 Angular 色逻辑过滤它们。我对任何类型的服务器端模板或 ActiveRecord 样式的存储级抽象都不感兴趣。

Answer 1

我无法对框架发表评论。

您已经提到了它的主要弱点，尤其是在互联网上，那就是安全性。那里的问题不仅仅是身份验证。问题本质上是客户端的开放性，在这种情况下是 Web 浏览器和协议(protocol)，特别是使用 JSON 或 XML 或其他一些纯文本协议(protocol)的 HTTP。

考虑一个例子。这很简单。想象一个 HTTP 服务接受 SQL 查询并返回表示行的 JSON 集合。这写起来很简单。您可能会在不到一个小时的时间内使用任何可以让您通过 SQL 访问 RDBMS 的工具从头开始构建一个新的。

可以说，回到客户端服务器开发的黄金时代，这正是人们所做的，只不过不是通过 HTTP 传输一些数据，人们使用特定于 DB 的驱动程序并将 SQL 文本直接发送到 DB 中的后端。

今天的问题是协议(protocol)太开放了。如果您实现了上面提到的 SQL 服务，您实际上将整个应用程序变成了 SQL 注入(inject)向量。

你根本无法在野外保护这样的东西。该协议(protocol)对琐碎的观察开放(每个浏览器都带有一个内置的数据包嗅探器，今天有效)，以及该应用程序的所有源代码。如果您尝试加密数据，这一切也都在客户端完成——包括流程的来源以及涉及的任何 key 。

例如，CouchDB 无法通过这种方式得到保护。如果某人有权访问服务器，则他们有权访问所有数据。所有的数据。您希望他们看到的内容和您不想看到的内容。

解决方案自然是服务层。比简单的原始数据流更高层次的东西。可以保护的东西，可以对客户保密。但是，这自然需要服务器端编程才能实现，而且表面上看，这是一项更多的工作、更多的层、更多的数据转换、更多的痛苦。

过去，人们只使用数据库中的存储过程来编写整个系统。这些过程将拥有调用它们的用户所没有的权限，因此您可以在服务器上限制用户可以或不可以看到或更改的内容。您可以在受限 View 上为它们提供无限制的 SELECT 功能，也许，而存储过程将有权实际更改数据或访问某些隐藏的列。

存储过程大部分已被应用层和应用服务器所取代，数据库越来越被归类为“哑存储”。但概念相似。

在某些情况下，将数据直接发布到网络是有值(value)的，例如您的分析示例。那是一个特定的，阅读量大的利基市场。但除此之外，我担心这个概念效果不佳。混淆后的 JS 难以阅读，但不安全。

这可能就是为什么您可能难以找到这样一个框架的原因(我自己根本没看过)。