【发布时间】:2016-09-14 22:23:08
【问题描述】:
我正在使用 Meteor 创建一个网络应用程序,人们可以使用它来注册每天午餐时间的工作足球比赛。我想确保唯一能够创建用户帐户的人是那些在我的机构中实际工作的人。最简单的方法是确保他们在创建帐户时输入密码(我将使用“令牌”这个词,但我不确定这是否是最佳描述)由另一位员工提供给他们。我知道这不是最安全的方法,但它确实有效!
在 Meteor 中执行此操作的最佳方法是什么?目前我正计划使用自定义表单(输入:用户名、密码、令牌)。作为验证的一部分,我将使用方法将令牌与存储在 settings.json 中的哈希令牌(作为私钥)进行比较,如果通过,则允许 Accounts.createUser 使用其他数据创建帐户。
由于我目前处于计划阶段,因此我没有可显示的代码,但这是否存在任何安全问题(或者是否有更简单的方法我只是缺少?)
【问题讨论】:
标签: meteor