我正在使用Meteor创建一个网络应用程序,人们可以使用它来注册每日午餐时间的足球比赛。我想确保能够创建用户帐户的唯一人员是那些在我的机构中实际工作的人。最简单的方法是确保他们在帐户创建时输入密码(我将使用“令牌”这个词,但我不确定这是否是最好的描述)由另一位员工给出。我知道这不是最安全的方法,但它有效!
在Meteor中这样做的最佳方式是什么?目前我计划使用自定义表单(输入:用户名,密码,令牌)。作为验证的一部分,我将使用Method将令牌与存储在settings.json中的散列令牌(作为私钥)进行比较,如果通过,则允许Accounts.createUser使用其他数据创建帐户。
我现在没有代码可以显示,因为我现在处于规划阶段,但是这会有任何安全问题(或者是否有一种我更容易丢失的方法?)
答案 0 :(得分:0)
您可以使用sign-up code包中的accounts-entry功能。
找到包here
答案 1 :(得分:0)
最好的方法是在登录用户名和密码时使用两个字段,在检查字段后,您可以在成功登录时提供由jwt-token包生成的令牌,并将其存储在本地存储中。 之后,您可以在每个请求或路由上验证该令牌,并且对于注销,您只需要从本地存储中删除令牌。