流星ddp连接安全和https

Question

我有三个不同的服务器上的流星应用程序。其中一人拥有2人使用的所有数据。我正在使用ddp.connect()。

所以三个应用程序都工作得很好，但我现在担心的是安全性。 我已经阅读过关于安全性的DDP后，我没有找到任何安全选项。 它只允许任何人连接到服务器并使用此协议获取数据。如何防止这种情况，同时允许其他2人连接？

的另一件事是，它使用HTTP请求（POST，GET），但我的应用程序现在都通过HTTPS，我想使DDP请求都必须通过HTTPS的是，可能吗？

我觉得我失去了一些东西很明显，但我无法从谷歌找到它。

Answer 1

你的DDP服务器的客户端，服务器2和3，没有 - 或很少 - 从常规的网络浏览器客户端不同。您所需要的所有安全措施都可以用于服务器到服务器的连接，从而禁止Web客户端执行不需要的操作（例如，允许/拒绝，条件发布，方法调用中的凭证检查等）。

DDP应使用的WebSocket，而不是HTTP（即使连接的URL是http指定）。如果您将该URL更改为https：//则DDP通信应通过“websocket secure”（wss：//）进行路由。