Ich lese das in der Dokumentation:
Datenbank überall. Verwenden Sie dieselbe transparente API für den Zugriff auf Ihre Datenbank vom Client oder vom Server.
Das ist großartig, aber ich denke, es gibt einige Sicherheitsprobleme. Wenn Sie vollen und transparenten Zugriff auf die Datenbank auf der Client-Seite haben, sind Sie schlechten Benutzern ausgesetzt, die Ihren JS-Code modifizieren (es ist wirklich in seinem Browser und er kann es tun) und jede Datenbankaktion hinzufügen, die vielleicht Daten abrufen / entfernen / aktualisieren könnte könnte vernünftig sein.
Bitte korrigieren Sie mich, wenn ich falsch liege. Danke!
Sie haben Recht. Die Entwickler arbeiten derzeit an Auth und Sicherheitsfragen. Ab sofort ist alles offen und großartig um Prototypen zu erstellen und Apps zu testen, aber sie sind anfällig für das Abrufen / Entfernen / Aktualisieren von Daten, wie sie möchten.
Die Antwort des Entwicklers auf diese Frage finden Sie hier: Link
Meteor enthält jetzt Einschränkungen für die Schreibvorgänge in Client-Datenbanken ( allow und deny ) und ein vollständiges Benutzerkontensystem .
Sichern Sie Ihre App, indem Sie die unsicheren und autopublish-Pakete entfernen:
%Vor%Tags und Links meteor