Передача запроса от переднего плана реагирования на службу перьев является хорошей практикой?

Question

Я использую реванш (https://github.com/rematch/rematch) для в React JS и для бэкэнда его перьев. Если я хочу получить записи из базы данных с определенными условиями, я могу передать запрос из вызова API в Код реакции. Ex.

const empData = await employeeService.find({
    query: {
        $and:[
            {employeeId: payload.empIId},
            {name:"ABC"}
        ]
    }
});

Это напрямую передает запрос в службу автоматически сгенерированных перьев и также предоставляет ожидаемый результат.

Мой вопрос заключается в том, является ли хорошей практикой передача этих типов запросов (может быть, более сложных, чем эта) из внешнего интерфейса? Пожалуйста, уточните ответ (каковы плюсы и минусы и т. Д.)

Answer 1

Мы делаем это успешно и активно на нескольких проектах. Это создает наибольшую гибкость. Изменения могут быть реализованы на клиенте, а не на клиенте и сервере.

Это должно быть сделано в сочетании с сервером, который не доверяет клиенту. Сервер должен санировать и ограничивать входные запросы, чтобы гарантировать, что клиент не получает ничего, чего не должен.

Answer 2

Позволять клиентам выполнять запросы напрямую, как правило, плохая идея. Вы не знаете запрос заранее, что означает, что любой может POST-запрос обработать, который свяжет вашу базу данных, эффективно DDOS-вас. Поскольку вы не проверяете ввод, вы не можете защитить себя от таких атак.

Всегда полезно проверить входные данные на каждой границе системы.