Security 防止Meteor调用在控制台中循环
我知道,您不能真正阻止用户从控制台调用meteor方法(如果我错了,请纠正我) 我为用户提供了一个简单的正面或反面游戏,用于跟踪他们游戏的统计数据,我为这两种游戏创建的两种方法是Security 防止Meteor调用在控制台中循环,security,meteor,methods,console,Security,Meteor,Methods,Console,我知道,您不能真正阻止用户从控制台调用meteor方法(如果我错了,请纠正我) 我为用户提供了一个简单的正面或反面游戏,用于跟踪他们游戏的统计数据,我为这两种游戏创建的两种方法是guessheads和guessTails。根据每个结果,我只更新这些命令中的统计信息,这样用户就没有更新统计信息的直接方法 统计数据存储在用户的配置文件中,由于以下代码,用户无法对其进行编辑: Meteor.users.deny({ update() { return true; } }); 我的问题是,用户仍然
guessheadsguessTailsMeteor.users.deny({
update() { return true; }
});
guessHeadsguessTails但是如果他们在一个大循环中运行这些命令呢?我怎样才能防止他们这样做,因为目前这是可能的。我会尝试以下方法:
var throttledUsers = { }; // Outside of your methods but on the server. I would probably use the module pattern for this.
guessHeads() {
var currentUser = this.userId;
if(!throttledUsers[currentUser]) {
throttledUsers[currentUser] = true;
//Do your logic.
Meteor.setTimeout(function() {
delete throttledUsers[currentUser];
}, 1000); // Set the throttle timeout to whatever you want.
} else {
// Throw an exception or whatever you want.
}
}
基本上,您在这里所做的是创建一个对象服务器端,用于容纳在最后一秒钟内调用guessHeads或guessTails的用户。然后,超时会将这些用户从对象中删除,并允许他们再次执行guessHeads和guessTails逻辑。我会尝试以下方法:
var throttledUsers = { }; // Outside of your methods but on the server. I would probably use the module pattern for this.
guessHeads() {
var currentUser = this.userId;
if(!throttledUsers[currentUser]) {
throttledUsers[currentUser] = true;
//Do your logic.
Meteor.setTimeout(function() {
delete throttledUsers[currentUser];
}, 1000); // Set the throttle timeout to whatever you want.
} else {
// Throw an exception or whatever you want.
}
}
基本上,您在这里所做的是创建一个对象服务器端,用于容纳在最后一秒钟内调用guessHeads或guessTails的用户。然后超时会将这些用户从对象中删除,并允许他们再次执行guessHeads和guessTails逻辑。Meteor的
ddp速率限制器只需添加包,然后使用
类型的DDPRateLimiter.addRule()
添加一条规则:'method'guessHeadsguessTailsddp速率限制器只需添加包,然后使用
类型的DDPRateLimiter.addRule()
添加一条规则:'method'guessHeadsguessTails