Meteor-security
提供:Dev Guides
流星-セキュリティ
この章では、アプリを保護する方法と、アプリを開発する際に考慮すべきことを学習します。
自動公開および自動保護
*Autopublish* は、データベースからクライアントにすべてのデータを自動的に公開するパッケージです。 これは、実稼働中に無効にする必要がある便利な機能です。 コマンドプロンプトから無効にできます。
C:\Users\username\Desktop\meteorApp>meteor remove autopublish
パブリッシュおよびサブスクライブの章で説明する* Meteor.publish()および Meteor.subscribe()*メソッドを使用して、一部のデータをクライアントにパブリッシュできます。
*Insecure* は、アプリのすべてのユーザーがデータベースにアクセスできるように、開発者のコンソールでMongoDBコマンドを作成できるようにするパッケージです。 パッケージは、コマンドプロンプトで次のコマンドを実行して削除できます。
C:\Users\username\Desktop\meteorApp>meteor remove insecure
アプリの開発を開始したらすぐに両方のパッケージを削除することをお勧めします。これにより、後でコードを変更および更新する必要がなくなります。
サーバー側のメソッドを使用する
常にサーバー上でメソッドを作成する必要があります。 サーバーで* Meteor.methods()を使用し、クライアントで Meteor.call()*を使用して実行できます。 これについては、メソッドの章で詳しく説明します。
追加のセキュリティ
アプリにセキュリティのレイヤーを追加する場合は、次のような他のMeteorパッケージの使用を検討する必要があります-
- Browser Policyを使用して、アプリにロードする必要のある外部リソースを制御できます。
- Checkパッケージを使用して、ユーザー入力タイプを処理前に確認できます。
- Audit Arguments Checkは、処理前にすべてのパラメーターが正しくチェックされることを保証するパッケージです。 一部のパラメーターを逃した場合、このパッケージは通知します。
- Mylarパッケージは、セキュリティのレイヤーを追加できます。 そのような保護が必要な場合は、チェックアウトできます。