Couchdb 数据库安全

在客户端使用PockDB访问远程服务器时，最佳安全实践是什么

使用以下代码与远程服务器同步的示例：

var remoteCouch = 'http://user:pass@mname.example.com/todos';

问题是，我可能不希望用户看到明文密码和他们可以下载的文件——即使该文件只显示给经过身份验证的用户

---

请告知。提前感谢，

这取决于您的远程服务器。如果使用CouchDB服务器，则可以将其配置为仅通过SSL（HTTPS）进行通信，有关详细信息，请参阅

---

如果您不想将CouchDB服务器直接暴露在internet上，您也可以将其隐藏在反向代理之后，例如启用了mod_代理扩展和SSL的Apache服务器。

每个站点用户都应该有自己的CouchDB用户。正如@onno所建议的，使用HTTPS和用户的登录凭据来访问CouchDB。密码在客户端JavaScript中永远不应该可用。

这里有一个关于CouchDB的所有东西的认证

我有一个配置了CouchDB的生产服务器，可以通过本地主机使用HTTP，但是外部请求需要通过重定向到CouchDB的HTTPS

在客户机上，我使用PockDB维护本地复制的db。作为通过HTTPS与CouchDB建立通信的握手的一部分，软件从另一台服务器获取CouchDB凭据-凭据永远不会存储在客户端

---

是一个很好的插件，但我发现亲自处理auth更好。

使用SSL无助于抵御可以从javascript源读取密码的攻击者