security - 如何将 Backbone.js 应用程序安全地连接到数据库？

Question

我开始计划一个网络应用程序，而 Backbone.js 将非常适合客户端。我一直计划使用节点作为后端，但暂时开放。

我需要一种方法来保护前端应用程序与数据库的连接。我有discussions with others on Quora但我认为这个思维过程过于抽象于核心问题。

我更愿意通过 RESTful 端点访问数据，但我需要确保只有我的应用程序可以与 API 通信。我将完全控制应用程序的前端和后端。有可能围绕数据库构建其他应用程序(在一两年内)，但是它们将由我开发(即不是公共(public) API)，并且这些应用程序可能会使用单独的 OAuth 端点。

有关应用程序的一些注释(可能有用也可能没用):

• 该应用计划以 SaaS 模式提供，公司可以订阅并允许多个用户使用。
• 每家公司的数据都必须安全，并且只有该公司的成员才能访问。
• 所有流量(前端和应用到 API)都将通过 SSL 发送。

任何有关最佳方法的建议将不胜感激。

Answer 1

我们拥有与您完全相同的设置 - SaaS 模型、多个应用程序(移动、网络等)，当我点击您的链接时，Miguel 拥有我们使用的完全相同的解决方案。

带有时间戳并在身份验证时发送到客户端的 token 。我们将该哈希 token 存储在用户模型中，然后我们验证该 token 的每个后续请求。

您可以使用 BaseModel 来扩展 Backbone.Model，通过覆盖 Backbone.Sync 将 token 附加到每个服务器请求

参见here关于他们如何扩展基本 View ，您可以将相同的事情应用于基本模型。