如何处理使用 3rd-party 的 restful store api 和 js mvc 框架的安全性？

Posted 2023-03-08

【中文标题】如何处理使用 3rd-party 的 restful store api 和 js mvc 框架的安全性？

【英文标题】：How to handle the security to use 3rd-party's restful store api, with js mvc framework?

【发布时间】：2012-05-07 21:15:46

【问题描述】：

我在学习angularjs，在demo中找到了一个如何使用angularjs和3rd-party的restful store api的例子：http://jsfiddle.net/tey3H/

我认为这是一个好主意，我可以在客户端编写 js 代码。但是我担心安全性，因为我看到了这段代码：

  var Project = $resource('https://api.mongolab.com/api/1/databases' +
      '/angularjs/collections/projects/:id',
       apiKey: '4f847ad3e4b08a2xxxxxxxxx' , 
        update:  method: 'PUT' 
      
  );

可以看到代码中有一个apiKey，客户端代码具有修改存储在mongolab中的数据的能力。如果其他人找到了密钥，他们也可以轻松修改数据。

所以我想知道如何处理安全性？

【参考方案1】：

取决于服务器。

本示例使用 MongoLab。 AFAIK，他们仍然不支持基于用户的身份验证，因此您必须编写一个应用服务器，它位于 mongo 前面，处理权限。

见http://support.mongolab.com/entries/20269612-rest-api-permissions-and-security-best-practice