EJSのページレンダリングでユーザーデータにアクセスする正しい方法

Question

ほとんどのアプリユーザーと同じように登録し、そのデータはMongooseを使用してMongoDBのユーザー文書に保存されます。

ここで重要なことは、Node.js &を使用して、EJS Temptingエンジンを使用して各ルート内にページをレンダリングすることです。レンダリングページの

アン例：

app.get('/profile',isLoggedIn,function(req, res) { 
    res.render('profile.ejs', { 
     user: req.user 
    }); 
}); 

今、あなたは、Imは私のテンプレートに、ユーザーオブジェクトを渡し、その後、ユーザがLOGGEDIN &であるかどうかをチェックすることは、上記のコードで見ることができます。ユーザーオブジェクトには、サインインしたユーザーのユーザードキュメント全体が含まれます。私は、ユーザオブジェクト使用方法

：ユーザアクセスプロフィールは、私が署名したユーザーにアクセスするためにuser: req.userオブジェクトを使用する場合、フロントエンドで

はID文書化し、私は関連情報を取得するだろうと使用しますそのユーザーに送信します。例えば

：

：

2. ユーザーIDでログインに一致するすべてのコメントは、それのユーザーIDでログインし

相続人の例に一致するすべての記事をゲット

<body ng-init="getUserPosts('<%= user._id %>')"></body> 

上記は完全に機能します同じテクニックを何度もSE、残業、私は、ユーザーが例えば、IDは、そのユーザーアカウントに、そのユーザーまたはポストに関連するデータを取得する必要があります。

<button ng-click="savePost('<%= user._id %>')">Send</button> 

上記は常にある特定のIDを持つユーザーを（見つけましたloggedInユーザ）は自分のアカウントに投稿を保存します。

問題：

今、私のコードは完璧に動作、私は何の問題もなかったしているが、私は私がユーザーIDをはっきりと見ることができる任意のブラウザ内の要素に私のページを閲覧するときということに気づきました。以下は、私が何を意味するかを理解するための画像は、次のとおりです。

今、私は唯一のLOGGEDINユーザーのみが自分のIDを見ることができるということを理解しています。しかし、これは正しい方法ですか？これは有害なのでしょうか？これをどのように改善できますか？

Answer 1

私のコメントとして、1つの方法はuser._idの値を暗号化してからクライアントに送信することです。

app.get('/profile',isLoggedIn,function(req, res) { 
    var user = req.user; 
    user._id = encrypt(user._id); 
    res.render('profile.ejs', { 
     user: user 
    }); 
}); 

これは、あなたが

<button ng-click="savePost('someEncryptedValue')">Send</button> 

あなたの生のmongo idはもはやクライアントに公開されているを取得したHTMLを意味します。

バックエンドでは、最初に値を復号化し、次に続行します。

app.get(/userPosts,function(req,res){ 
    var userId = decrypt(req.query.id); 
    Posts.find({userId:userId},function(err,posts){ 
     res.send(posts); 
    }); 
});