阻止访问 Meteor 中的页面

Question

我正在流星中构建一个应用程序，其中一个页面只有在用户登录时才对用户可见。该页面的链接位于导航标题中，我希望在用户登录时显示一个登录对话框在没有登录的情况下点击链接。这是显示对话框的代码：

<template name="header">
 <a href="#" id="createPost">Create Post</a>
</template>

Template.header.events({
   "click #createPost": function (evt) {
       evt.preventDefault();
       if(!Meteor.user()) {
           $('#myModal').modal("show"); //bootstrap modal dialog
       }else{
           Router.go('/createPost');
       }
   }
}

但是，问题是 Meteor.user() 检查可以很容易地从浏览器控制台绕过使用Meteor.user = function(){return true;}

我尝试在路由中检查 Meteor.user() 并抛出异常如下：

  Router.route('/createPost', function () {
        if (!Meteor.user()) {
            throw new Meteor.Error(500, 'You are not logged in.');
        }
        this.render('newbag');
    });

但是一旦 Meteor.user 在浏览器中被修改，这个检查也不起作用。 处理这种情况并防止页面显示的最佳方法是什么。

Answer 1

没有办法确保客户不会看到给定的页面。

即使您最终提出了很多技巧，客户端也会收到所有模板并且他仍然可以访问它，无论是使用他的浏览器控制台还是通过更高级的技巧。

您想要的是阻止用户查看和操作数据，这是一种验证，必须在服务器端进行以确保安全，并且可以在客户端进行以更好地感受用户。
例如，在出版物中：

Meteor.publish('userData', function() {
  if(!this.userId) {
    throw new Meteor.Error('user not logged-in');
  }
  //...
});

您必须确保在正常、合法地使用您的应用程序中，一切运行正常，客户可以看到他可以看到的内容，并提示他需要提示的内容（此处， “请登录”）。

如果客户想搞砸，让他的页面被破坏。

Answer 2

我同意其他答案：如果您真的想锁定应用程序，那么您还需要考虑服务器端控件。

对于安全性要求较低的应用，我通常使用iron-router 执行与您的代码类似的操作：

Router.route('/', {
    name: 'home',
    template: 'home',
    onBeforeAction: function(){
     var currentUser = Meteor.userId();
     if(currentUser){
         this.next();
     } else {
         this.render("login");
     }
   }
}); 

我在控制台上用你的 hack 进行了测试，它可靠地一直重定向到“登录”，但登录屏幕本身（我正在使用 accounts-ui 和 accounts-password）然后中断，因为你无法注销 Null 用户。