客戶端Meteor.users集合如何防篡改和安全？

Question

如果關閉自動發佈功能。客戶端Meteor.users集合如何防篡改和安全？

我的實驗證明它是防篡改的。我已經嘗試在控制檯上進行客戶端腳本插入，更新和刪除，並獲得403錯誤。

例如，您可以嘗試使用其中一個用戶收集ID，然後$ push something或$ set something。您也可以嘗試刪除和插入。

Meteor.users.update({_id: "72277b27-3a53-4aa3-82b7-fb096060a8dc"}, {$set: {foo:'bar'}}) 

或

Meteor.users.insert({this:'that'}) 

或

Meteor.users.remove({_id: "72277b27-3a53-4aa3-82b7-fb096060a8dc"}) 

，你應該得到所有這些的403。

但如何防篡改和安全呢？

感謝 吊杆

Answer 1

看到，因爲Meteor.users是在auth分支新鮮，而不是一個正式發佈的一部分，我會用錯誤的可能性（你應該如果您報告認爲出血邊緣順便找一下）。這就是說，它的設計目標是防篡改和安全，因爲它是身份驗證系統的組成部分。