meteor ddp 연결 보안 및 https

Question

세 개의 다른 서버에 3 개의 유성 응용 프로그램이 있습니다. 그들 중 하나는 다른 사람들이 사용하는 모든 데이터를 가지고 있습니다. ddp.connect()을 사용하고 있습니다.

그래서 세 가지 응용 프로그램은 정상적으로 작동하지만 내 관심사는 보안입니다. 보안에 대해 생각한 후 DDP에 대해 읽었으며 보안 옵션을 찾지 못했습니다. 누구든지이 프로토콜을 사용하여 서버에 연결하고 데이터를 가져올 수 있습니다. 다른 사람들이 연결할 수있게하는 동안 이것을 어떻게 막을 수 있습니까?

다른 점은 HTTP 요청 (게시, 가져 오기)을 사용하지만 내 앱이 https를 초과하고 https를 초과하는 ddp 요청이 가능하도록 만들고 싶습니다.

나는 꽤 명백한 무엇인가 놓치고있는 것처럼 느낀다. 그러나 나는 google에서 그것을 발견 할 수 없다.

Answer 1

DDP 서버 클라이언트 인 서버 2와 3은 일반 웹 브라우저 클라이언트와 별다른 차이가 없습니다. 웹 클라이언트가 원하지 않는 작업 (예 : 허용/거부, 조건부 게시, 메서드 호출의 자격 증명 검사 등)을 수행하지 못하도록하는 데 필요한 모든 보안을 서버 간 연결에도 사용할 수 있습니다.

DDP는 연결 URL이 http로 지정되어 있어도 HTTP가 아닌 websocket을 사용해야합니다. 해당 URL을 https : //로 변경하면 DDP 통신은 "websocket secure"(wss : //)를 통해 라우트되어야합니다.