node.js - /api上暴露的mongoDB数据库,我该如何隐藏它?
问题描述
我正在使用 mongoDB 数据库、Vue、axios、caddy server 和 nodejs。
我遵循了本教程: https ://www.youtube.com/watch?v=ek50iuo5zkE&ab_channel=DesignCourse ,这导致我的整个数据库在 example.com/api 上以 JSON 形式公开。例如,页面的第一行可能是:
[{"_id":"6168115af6bfc986c18f821d","name":"test","age":"20","__v":0},
它列出了整个数据库。我该如何隐藏这个?
我的 app.js 文件,如教程中所示:
let express = require('express'),
cors = require('cors'),
mongoose = require('mongoose'),
database = require('./database'),
bodyParser = require('body-parser');
//connect mongoDB
mongoose.Promise = global.Promise;
mongoose.connect(database.db, {
useNewUrlParser: true,
useUnifiedTopology: true
}).then(() => {
console.log("Database connected")
},
error => {
console.log("Database couldn't be connected to: " + error);
}
)
const cryptoEndPoint = require('../backend/routes/crypto.route')
const app = express();
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({
extended: false
}));
app.use(cors())
//API
app.use('/api', cryptoEndPoint)
//create port
const port = process.env.PORT || 4000;
const server = app.listen(port, () => {
console.log('Connected to port ' + port);
})
//Find 404
app.use((req, res, next) => {
next(createError(404));
})
//error handler
app.use(function (err, req, res, next) {
console.log(err.message);
if (!err.statusCode) err.statusCode = 500;
res.status(err.statusCode).send(err.message);
})
.env.development 文件:
VUE_APP_BASE_API_URL=http://localhost:4000/api
.env.production 文件:
VUE_APP_BASE_API_URL=https://example.com/api
database.js 文件:
module.exports = {
db: process.env.MONGO_CONNECTION_URI
}
我认为这可能是一个球童(服务器)问题,但我在他们的论坛上发帖,他们说这是一个节点问题,并且“你应该反向代理你的 NodeJS 应用程序,而不是你的数据库。” 我的印象是我的球童服务器已经这样做了,我的球童文件是:
example.com {
handle /api* {
reverse_proxy localhost:4000
}
handle {
root * /var/www/html
try_files {path} /index.html
file_server
}
}
从教程中,我也有 crypto.route.js:
const express = require('express');
const cryptoRoute = express.Router();
let CryptoModel = require('../models/Crypto');
cryptoRoute.route('/').get((req, res) => {
CryptoModel.find((error, data) => {
if (error) {
return next(error)
} else {
res.json(data)
}
})
})
cryptoRoute.route('/add-crypto').post((req, res, next) => {
CryptoModel.create(req.body, (error, data) => {
if (error) {
return next(error)
} else {
res.json(data)
}
})
})
Crypto.js:
const mongoose = require('mongoose');
const Schema = mongoose.Schema;
let cryptoSchema = new Schema({
name: {
type: String
}
}, {
collection: 'sentences_nouns'
})
module.exports = mongoose.model('Crypto', cryptoSchema);
解决方案
cryptoRoute.route('/').get((req, res) => {
CryptoModel.find((error, data) => {
...
GET在您的/api路线上返回您的整个数据库,因为您没有在get方法中使用任何查询。避免它的最简单方法是向端点添加一些参数,例如/api/:id,然后获取该参数并输入查询
cryptoRoute.route('/:id').get((req, res) => {
const urlId = req.params.id
CryptoModel.find({ id: urlId }, (error, data) => {
...
我建议阅读有关express 中的路由和mongoose 中的查询
推荐阅读
- javascript - 如何创建一个扩展未预先确定的其他类的类
- java - 在 Java 中为每个类字段附加一个常量字符串
- node.js - 在 wetty.js 中更改字体
- css - 在 create-react-app 中生成 RTL CSS 文件并根据状态的变化在它们之间切换
- assembly - 为什么不能做 mov [eax], [ebx]
- gradle - Gradle 找不到插件:org.jetbrains.kotlin.jvm 和 kotlin2js
- express - 在 Nodejs/Express js 中,我无法返回对 Angular 6 的响应
- android - 为什么在 CoordinatorLayout 中不起作用布局约束
- javascript - 如何将多个集合与 Firebase 合并?
- python - 如何定义一个函数来总结列表中的最大值和最小值