PouchDB 安全问题,客户端权限逻辑
PouchDB security concerns, client-side permission logic
我是 PouchDB 的新手,但想在我最近的项目中使用它。主要问题当然是安全性。我想构建一个多用户桌面应用程序(基于 Electron),允许用户修改同一 pouch/couch 数据库中的文档。
由于某些工作流程,同一文档的某些部分只能由特定用户更改。据我了解,在 Javascript/Pouchdb 应用程序中执行此操作的唯一方法是向客户端 JS 添加权限逻辑,这听起来一点也不安全。我对吗?这里的真正线索是什么?绕过客户端js权限,以未授权的方式更改pouchdb文档有多容易?
感谢您解决这个问题
一旦您将开放代码提供给最终用户端(这是 JS 情况),您应该准备好接受恶意代码更改客户端的可能性,这是显而易见的。
由于 CouchDB 在每个数据库的基础上管理写入权限 - 如果 malicios 用户在该数据库中具有写入权限,他将写入该数据库中的所有文档。
考虑每个用户的数据库,然后仅结合您的多部分最终文档服务器端或考虑其他数据库。
我是 PouchDB 的新手,但想在我最近的项目中使用它。主要问题当然是安全性。我想构建一个多用户桌面应用程序(基于 Electron),允许用户修改同一 pouch/couch 数据库中的文档。 由于某些工作流程,同一文档的某些部分只能由特定用户更改。据我了解,在 Javascript/Pouchdb 应用程序中执行此操作的唯一方法是向客户端 JS 添加权限逻辑,这听起来一点也不安全。我对吗?这里的真正线索是什么?绕过客户端js权限,以未授权的方式更改pouchdb文档有多容易?
感谢您解决这个问题
一旦您将开放代码提供给最终用户端(这是 JS 情况),您应该准备好接受恶意代码更改客户端的可能性,这是显而易见的。 由于 CouchDB 在每个数据库的基础上管理写入权限 - 如果 malicios 用户在该数据库中具有写入权限,他将写入该数据库中的所有文档。 考虑每个用户的数据库,然后仅结合您的多部分最终文档服务器端或考虑其他数据库。