Как структурировать приложения Node, Express, Connect-Auth и Backbone на стороне сервера?

Question

Я - клиент на стороне клиента, который только что вошел в мир серверного JavaScript. У меня есть идея о том, как я хочу создать свое первое приложение Nodejs. Я хочу на стороне сервера, которая в значительной степени обслуживает только пустую оболочку и много JSON. Я хочу поместить оставшуюся логику в интерфейс Backbone.js.

Итак, я быстро открыл маленькое приложение (код внизу) и у меня есть несколько вопросов.

1. Безопасны ли переменные сеанса? Могу ли я использовать переменные сеанса для хранения идентификатора пользователя, который я позже прочитал для получения конфиденциальной даты. Можно ли изменить переменные сеанса так, чтобы в моем случае один пользователь мог получить данные другого пользователя?

2. Имеет ли смысл обслуживать JSON так, как я это делаю на своем маршруте / profile. В моем приложении будет много таких же маршрутов. Маршруты, которые извлекают что-то из базы данных и служат для клиента JSON.

3. Глядя на мой код, есть ли у вас какие-либо советы или хитрости? Вещи, которые я должен сделать по-другому. Модули, на которые мне, вероятно, стоит взглянуть?

4. Имеет ли смысл моя идея почти JSON-только бэкэнда?

Моя заявка ниже.

var facebook = {
    'appId'         : "my app id",
    'appSecret'     : "my app secret",
    'scope'         : "email",
    'callback'      : "http://localhost:2000/"
}

var express         = require('express');
var MongoStore      = require('connect-mongo');
var auth            = require('connect-auth')
var UserProvider    = require('./providers/user').UserProvider;
var app             = module.exports = express.createServer();

// Configuration
app.configure(function(){
    app.set('views', __dirname + '/views');
    app.set('view engine', 'jade');
    app.use(express.bodyParser());
    app.use(express.methodOverride());
    app.use(express.cookieParser());
    app.use(auth([auth.Facebook(facebook)]));
    app.use(express.session({secret: 'my secret',store: new MongoStore({db: 'app'})}));
    app.use(express.compiler({ src: __dirname + '/public', enable: ['less'] }));
    app.use(app.router);
    app.use(express.static(__dirname + '/public'));
});

app.configure('development', function(){
    app.use(express.errorHandler({ dumpExceptions: true, showStack: true })); 
});

app.configure('production', function(){
    app.use(express.errorHandler()); 
});


// Providers
var UserProvider = new UserProvider('localhost', 27017);

// Routes
app.get('/', function( request, response ) {

    if( !request.session.userId ) {
        request.authenticate(['facebook'], function(error, authenticated) {
            if( authenticated ) {
                request.session.userId = request.getAuthDetails().user.id;
            }
        });
    }

    response.render( 'index.jade' );

});

app.get('/profile', function( request, response ) {

    response.contentType('application/json');
    if( request.session.userId ){
        UserProvider.findById( request.session.userId, function( error, user ){
            var userJSON = JSON.stringify( user );
            response.send( userJSON );
        });
    } else {
        response.writeHead(303, { 'Location': "/" });
    }

});

app.get('/logout', function( request, response, params ) {

    request.session.destroy();
    request.logout();
    response.writeHead(303, { 'Location': "/" });
    response.end('');

});

app.listen(2000);
console.log("Express server listening on port %d in %s mode", app.address().port, app.settings.env);

Answer 1

Я думаю, у вас есть правильная идея, хотя я выкину пару мыслей:

• Определение маршрутов - Если вы определяете много маршрутов, особенно в JSON, вы можете определить их динамически через структуру типов MVC. Вы можете найти хороший пример этого в экспресс-примерах здесь . Это сэкономит вам много рукописных маршрутов, и вы сможете передавать объекты узлов обратно клиенту как JSON, не делая ничего другого на стороне сервера.
• Магистраль на сервере - Если вы хотите стать немного сумасшедшим (и я никогда не использовал эту технику), Семя разработки построил структуру под названием bones что использует магистраль на стороне сервера .
• Пример входа в систему - В DailyJS есть хорошее руководство по управлению сессиями пользователей.
• Доступность - Если у вас нет проблем с доступностью, предоставление данных через REST API имеет смысл. Если вам нужно беспокоиться о соответствии 508 или других ограничениях JavaScript, у вас могут возникнуть проблемы.

Что касается безопасности, то установление более низкого значения тайм-аута сеанса и выбор подходящего секретного ключа, вероятно, окажет большое влияние на то, чтобы кто-то не мог генерировать куки-файлы сеанса (по умолчанию фактические данные не хранятся на клиенте ). Я не уверен, что алгоритм node.js использует для создания файлов cookie сеанса. Вот некоторые подробности о промежуточном программном обеспечении экспресс-сеанса .