如何禁止流星中的非活动用户登录?
问题描述:
我对用户收集活跃的研究领域,我想,以防止该字段设置用户为false登录应用。我可以允许他们在将来登录,所以我不能删除他们的帐户或更改他们的密码。我怎么能禁止他们登录流星?如何禁止流星中的非活动用户登录?
答
尽管这并不直接登录阻止他们将尽快为他们登录这取决于你的使用可能会围绕一个黑客工作注销出来:
Meteor.autorun(function(){
if(typeof Meteor.user().blocked !== "undefined"){
Meteor.logout(function(){alert('Your account is blocked at the moment, please contact us for more information');});
}
});
哪里堵塞是无效帐户属性已设置
答
可能是最安全的做法是将用户的数据移动到另一个收集和删除用户的帐户。当然,如果系统中的现有数据链接到该用户的ID,那么这可能不是理想的。
我通过文档看,但没有找到任何东西,听起来像你可以设置一个账户无效标志(这似乎是这将是一个非常有用的功能虽然)。
警告我不是一个安全专家。以下建议可能很糟糕:
如果您需要离开用户帐户,您可以尝试的一件事是移动或修改用户帐户中的SRP数据。例如,你可以只是追加字符串'--disabled--'到'services.password.srp.salt'。这将阻止用户重新登录,显然你可以通过删除字符串来反转该过程。
没有在我的应用程序类似的技术 - 行之有效 –
**警告:**此方法的工作,但不活动的用户可以登录使用浏览器控制台,此方法不会阻止。每次发布开始时,检查用户是否处于非活动状态,以便非活动用户无法看到应用程序数据。您还必须检查用户在创建,更新和删除操作时是否处于非活动状态,因为可以使用控制台进行操作。 – Camilo