безопасность соединения метеора ddp и https

У меня есть 3 метеорных приложения на трех разных серверах. У одного из них есть все данные, которые используют два других. Я использую ddp.connect().

Итак, три приложения работают нормально, но сейчас меня беспокоит безопасность. Я прочитал о DDP, подумав о безопасности, и не нашел для него никаких параметров безопасности. Он просто позволяет любому подключиться к серверу и получить данные, используя этот протокол. Как предотвратить это, позволяя двум другим подключаться?

Другое дело, что он использует http-запросы (post, get), но мои приложения теперь работают через https, и я хочу, чтобы запросы ddp выполнялись через https, возможно ли это?

Я чувствую, что упускаю что-то довольно очевидное, но я не могу найти это в Google.


https security meteor ddp
person mohRamadan    schedule 18.08.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Клиенты вашего сервера DDP, серверы 2 и 3, ничем не отличаются или почти не отличаются от обычных клиентов веб-браузера. Все меры безопасности, которые вам потребуются, чтобы запретить веб-клиентам выполнять нежелательные действия (например, разрешить/запретить, условные публикации, проверку учетных данных при вызовах методов и т. д.), можно использовать и для соединений сервер-сервер.

DDP должен использовать веб-сокет, а не HTTP (даже если URL-адрес подключения указан с помощью http). Если вы измените этот URL-адрес на https://, то связь DDP должна быть направлена ​​​​через «безопасный веб-сокет» (wss://).

person Christian Fritz    schedule 18.08.2016
comment
Я использовал https в ddp, но не был уверен, что это будет означать, что он будет использовать безопасный веб-сокет. - person mohRamadan; 19.08.2016
comment
вы можете перепроверить, но я ожидаю, что это произойдет. - person Christian Fritz; 19.08.2016