- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我感觉我失去了一些东西。我试图定制我的产品用户界面,以便某些项目仅向管理员显示。此外,限制对路由器中某些“页面”的访问需要同步调用防护。我当然更喜欢保持异步,但这似乎不满足要求。
在其他环境中,我会创建一个 bool 函数,例如 isAdmin() 来检查用户授权/Angular 色。但由于出于安全原因用户不应该看到该函数的实现,因此最好使用仅服务器的 Meteor 方法。虽然该方法可以在客户端同步(如果没有指定回调),但获取返回值的唯一方法是使用 Meteor.call() 的异步回调形式。
似乎有三种方法可以处理这个问题,但没有一种方法像 bool 函数那么简单:
我见过使用 Meteor.wrapAsync 或 Future 的示例,但这些示例使用服务器上的 Fiber,而不是客户端。
对于其他模式有什么其他建议,也许使用 rxjs?谢谢。
最佳答案
我认为我不了解您的整体安全策略,但这里有一些需要考虑的事情。
安全发生在服务器上,您似乎对此很了解。
在我当前的项目中,我们使用 Angular 色 ( alanning:roles ),并且有多个管理 Angular 色。这些 Angular 色是通过 Meteor.user 对象发布的,因此在客户端我们可以通过检查来启用/禁用页面链接。
因此,我们同意这样做并不是真正的安全性,因为用户可以简单地导航到该链接或更改其客户端 Meteor.user 对象来公开该链接。
但在该页面上,我们可能将访问仅限管理的数据。由于我们在服务器上处理发布,因此我们可以在服务器上检查这些管理员 Angular 色的真实性,因此我们可以检测非管理员用户访问并抛出错误。
类似地,如果我们向用户发布数据,并且他们获得的项目基于 Angular 色,我们可以在发布中检查这一点,并仅发布那些允许他们查看的项目。与限制这些已发布项目的字段相同的想法。
对于您关于“检查 Angular 色的客户端代码是什么样的?”的问题,它实际上只是查询 Meteor.user 上“Angular 色”字段的内容。因此,虽然它确实向他们暗示了存在哪些 Angular 色以及应用程序如何使用它们来提高可见性,但恕我直言,它并没有提供恶作剧的途径。只要他们无法访问任何受限数据,或成功执行任何受限调用,它就是安全的。
因此,对于我们的每个发布者和 Meteor 方法,我们都有大量的错误检查,包括 Angular 色(管理员和其他 Angular 色)。如果有任何内容不一致,我们会抛出错误。
关于javascript - 使 Meteor 方法调用在客户端同步,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44598807/
我正在实现 IMAP 客户端,但 IMAP 邮箱同步出现问题。 首先,可以从 IMAP 服务器获取新邮件,但我不知道如何从邮箱中查找已删除的邮件。 我是否应该从服务器获取所有消息并将其与本地数据进行比
我研究线程同步。当我有这个例子时: class A { public synchronized void methodA(){ } public synchronized void met
嗨,我做了一个扩展线程的东西,它添加了一个包含 IP 的对象。然后我创建了该线程的两个实例并启动它们。他们使用相同的列表。 我现在想使用 Synchronized 来阻止并发更新问题。但它不起作用,我
我正在尝试使用 FTP 定期将小数据文件从程序上传到服务器。用户从使用 javascript XMLHttpRequest 函数读取数据的网页访问数据。这一切似乎都有效,但我正在努力解决由 FTP 和
我不知道如何同步下一个代码: javascript: (function() { var s2 = document.createElement('script'); s2.src =
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this qu
一 点睛 1 Message 在基于 Message 的系统中,每一个 Event 也可以被称为 Message,Message 是对 Event 更高一个层级的抽象,每一个 Message 都有一个
一 点睛 1 Message 在基于 Message 的系统中,每一个 Event 也可以被称为 Message,Message 是对 Event 更高一个层级的抽象,每一个 Message 都有一个
目标:我所追求的是每次在数据库中添加某些内容时(在 $.ajax 到 Submit_to_db.php 之后),从数据库获取数据并刷新 main.php(通过 draw_polygon 更明显)。 所
我有一个重复动画,需要与其他一些 transient 动画同步。重复动画是一条在屏幕上移动 4 秒的扫描线。当它经过下面的图像时,这些图像需要“闪烁”。 闪烁的图像可以根据用户的意愿来来去去和移动。它
我有 b 个块,每个块有 t 个线程。 我可以用 __syncthreads() 同步特定块中的线程。例如 __global__ void aFunction() { for(i=0;i #
我正在使用azure表查询来检索分配给用户的所有错误实体。 此外,我更改了实体的属性以声明该实体处于处理模式。 处理完实体后,我将从表中删除该实体。 当我进行并行测试时,可能会发生查询期间,一个实体已
我想知道 SQLite 是如何实现它的。它基于文件锁定吗?当然,并不是每个访问它的用户都锁定了整个数据库;那效率极低。它是基于多个文件还是仅基于一个大文件? 如果有人能够简要概述一下 sqlite 中
我想post到php,当id EmpAgree1时,然后它的post变量EmpAgree=1;当id为EmpAgree2时,则后置变量EmpAgree=2等。但只是读取i的最后一个值,为什么?以及如何
CUBLAS 文档提到我们在读取标量结果之前需要同步: “此外,少数返回标量结果的函数,例如 amax()、amin、asum()、rotg()、rotmg()、dot() 和 nrm2(),通过引用
我知道下面的代码中缺少一些内容,我的问题是关于 RemoteImplementation 中的同步机制。我还了解到该网站和其他网站上有几个关于 RMI 和同步的问题;我在这里寻找明确的确认/矛盾。 我
我不太确定如何解决这个问题......所以我可能需要几次尝试才能正确回答这个问题。我有一个用于缓存方法结果的注释。我的代码目前是一个私有(private)分支,但我正在处理的部分从这里开始: http
我对 Java 非常失望,因为它不允许以下代码尽可能地并发移动。当没有同步时,两个线程会更频繁地切换,但是当尝试访问同步方法时,在第二个线程获得锁之前以及在第一个线程获得锁之前再次花费太长时间(比如
过去几周我一直在研究java多线程。我了解了synchronized,并理解synchronized避免了多个线程同时访问相同的属性。我编写此代码是为了在同一线程中运行两个线程。 val gate =
我有一个关于 Java 同步的简单问题。 请假设以下代码: public class Test { private String address; private int age;
我是一名优秀的程序员,十分优秀!