我在三台不同的服务器上有3个 meteor 应用程序。其中一个拥有其他两个使用的所有数据。我正在使用ddp.connect()

因此,这三个应用程序都可以正常工作,但是我现在关心的是安全性。
在考虑安全性之后,我已经阅读了DDP,但没有找到任何安全性选项。
它仅允许任何人使用此协议(protocol)连接到服务器并获取数据。在允许其他两个连接的同时如何防止这种情况?

另一件事是,它使用http请求(post,get),但是我的应用程序现在通过https,并且我想通过ddp发出ddp请求,这可能吗?

我觉得我似乎遗漏了一些明显的东西,但是我无法从Google找到它。

最佳答案

您的DDP服务器客户端(服务器2和3)与普通的Web浏览器客户端没有(或几乎没有)不同。为防止Web客户端执行不必要的操作(例如,允许/拒绝,有条件的发布,方法调用中的凭据检查等),您需要采取的所有安全措施也可以用于服务器到服务器的连接。

DDP应该使用websocket,而不是HTTP(即使使用http指定了连接URL)。如果您将该URL更改为https://,则DDP通信应通过“websocket secure”(wss://)进行路由。

关于security - meteor DDP连接安全性和https,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/39020523/

10-12 14:04