如何在服务器端构buildNode,Express,Connect-Auth和Backbone应用程序?
我是一个刚刚踏入服务器端JavaScript的世界的客户端。 我有这个想法,我想我想build立我的第一个Nodejs应用程序。 我想要一个服务器端,几乎只提供一个空壳和大量的JSON。 我想把其余的逻辑放在配备Backbone.js的前端。
所以我快速的掀起了一个小应用程序(代码在底部),我有几个问题。
-
会话variables是否安全? 我可以使用会话variables来存储一个用户标识符,我以后读取以获取敏感date。 是否有可能修改会话variables,在我的情况下,一个用户可以获得另一个用户的数据?
-
以我在“/ profile”path上的方式提供JSON服务是否合理? 在我的应用程序中会有很多像这样的路线。 从数据库获取某些内容并将其作为JSON提供给客户端的路由。
-
看我的代码,你有任何提示或技巧? 我应该做的不同。 我可能应该看看模块?
-
我的想法几乎只有JSON后端才有意义吗?
我的申请如下。
var facebook = { 'appId' : "my app id", 'appSecret' : "my app secret", 'scope' : "email", 'callback' : "http://localhost:2000/" } var express = require('express'); var MongoStore = require('connect-mongo'); var auth = require('connect-auth') var UserProvider = require('./providers/user').UserProvider; var app = module.exports = express.createServer(); // Configuration app.configure(function(){ app.set('views', __dirname + '/views'); app.set('view engine', 'jade'); app.use(express.bodyParser()); app.use(express.methodOverride()); app.use(express.cookieParser()); app.use(auth([auth.Facebook(facebook)])); app.use(express.session({secret: 'my secret',store: new MongoStore({db: 'app'})})); app.use(express.compiler({ src: __dirname + '/public', enable: ['less'] })); app.use(app.router); app.use(express.static(__dirname + '/public')); }); app.configure('development', function(){ app.use(express.errorHandler({ dumpExceptions: true, showStack: true })); }); app.configure('production', function(){ app.use(express.errorHandler()); }); // Providers var UserProvider = new UserProvider('localhost', 27017); // Routes app.get('/', function( request, response ) { if( !request.session.userId ) { request.authenticate(['facebook'], function(error, authenticated) { if( authenticated ) { request.session.userId = request.getAuthDetails().user.id; } }); } response.render( 'index.jade' ); }); app.get('/profile', function( request, response ) { response.contentType('application/json'); if( request.session.userId ){ UserProvider.findById( request.session.userId, function( error, user ){ var userJSON = JSON.stringify( user ); response.send( userJSON ); }); } else { response.writeHead(303, { 'Location': "/" }); } }); app.get('/logout', function( request, response, params ) { request.session.destroy(); request.logout(); response.writeHead(303, { 'Location': "/" }); response.end(''); }); app.listen(2000); console.log("Express server listening on port %d in %s mode", app.address().port, app.settings.env); 我认为你有正确的想法,但我会抛出一些想法:
- 定义路由 – 如果要定义大量路由,尤其是使用JSON,可能需要通过MVCtypes框架dynamic定义路由。 你可以在这里的快速样本中find一个很好的例子。 这将为您节省大量手写路由,并且可以将节点对象作为JSON传递回客户端,而无需在服务器端进行其他操作。
- 服务器上的主干 – 如果你想变得更疯狂(而且我还没有使用过这种技术), Development Seed已经构build了一个叫骨骼的框架, 它在服务器端使用骨干 。
- login示例 – 在DailyJS上有关于用户会话pipe理的很好的教程 。
- 可访问性 – 只要您没有可访问性问题,通过REST API提供数据是有道理的。 如果您不得不担心508合规性或其他javascript限制,则可能会遇到问题。
至于安全性,将会话超时设置为较低的值,并select一个适当的密钥可能会很长的一段时间,以确保有人不能生成会话cookie(默认情况下实际的数据不存储在客户端)。 我不确定node.js使用什么algorithm来生成会话cookie。 这里是快速会话中间件的一些细节。