用户可以在我的应用中执行一些不可逆转的操作.为了增加安全级别,我想验证执行此类操作的人员实际上是登录用户.我怎样才能实现它?
>对于有密码的用户,我想要一个要求再次输入用户密码的提示.我以后如何验证此密码,而无需通过网络发送?
>对于通过外部服务登录的用户,是否可以执行类似操作?如果是的话,如何实现呢?
解决方法
我可以帮助解决第一个问题.在撰写本文时,meteor没有checkPassword方法,但是你可以这样做:
在客户端上,我将假设您有一个带有输入密码的表单和一个名为check-password的按钮.事件代码可能如下所示:
@H_403_11@Template.userAccount.events({ 'click #check-password': function() { var digest = Package.sha.SHA256($('#password').val()); Meteor.call('checkPassword',digest,function(err,result) { if (result) { console.log('the passwords match!'); } }); } });然后在服务器上,我们可以像这样实现checkPassword方法:
@H_403_11@Meteor.methods({ checkPassword: function(digest) { check(digest,String); if (this.userId) { var user = Meteor.user(); var password = {digest: digest,algorithm: 'sha-256'}; var result = Accounts._checkPassword(user,password); return result.error == null; } else { return false; } } });有关详细信息,请参阅我的blog post.我会尽力保持最新.
