Если правильно сделать то не дырявый. Там же данные открытые, их можно подменить но не выйдет переподписать, нужны правильные проверки ну и всё такое

Ну как обычно, надо правильно готовить) Я мельком этот холивар читал, там столько грязи было :D Пожалуй, этот канал, самый спокойный что я встречал)

Я не совсем понимаю просто, одного момента, на каком уровне происходит "авторизация", мне при регистрации нового пользователя создавать отдельную коллекцию и пихать уже туда все его данные, или же, все же пользователи и записи хранить отдельно друг от друга?

для начала определитесь что вам нужно, хранит ьпросто пароли не в открытом виде, или все данные пользователя сделать недосутпными для других людей

для начала определитесь что вам нужно, хранит ьпросто пароли не в открытом виде, или все данные пользователя сделать недосутпными для других людей

Сначала первое. В общем, у меня есть уже готовая страничка написанная на реактив, где есть де формы, регистрация и вход. Пока, мне достаточно было бы иметь возможность зарегистрировать нового пользователя и после успешной авторизации вывести его имя типа "ХЕЛЛО НОУНЕЙМ")

Step-by-step как говорится)

если вы начинаете озабачиваться о безопасности, то стоит расписат ьвектор атак от которых вы хотете защититься, этакая модель угроз. относительно ее уже дальше проектироват ьвсю систему. без этого все бессмысленно.

например, человек получивший доступ к бд не мог получить пароль пользователя, а лишь его испортить или подменить

Ну, у меня пожалуй весьма стандартный стек. 0. Челок получивший доступ к бд не мог получить пароль пользователя 1. Обезопасить себя, от слива всей базы 2. Новый пользователь не мог иметь доступа к записям чужого пользователя

Короче, я понял, первое что мне нужно, это зашифровать пароли)

это самое простое, а вот второе и третье - это уже больше организационные методы и предотвращение эксплойтов на стороне приложухи. ведь абсолютно бессмысленно упарываться в безопасность, если на сервак можно залит ьфайлик и потом его удаленно запустить

Ну, дело в том, что я позиционирую свой проект больше как портфолио и глубоко углубляться в безопасность мне бы не хотелось, все таки, это уже работа тех людей, который настраивают сервера, а пока, все у меня крутиться на локальной машинке.

в хорошо спроектированной софтине и полностью лояльной команде админов можно полностью исключить настройку безопасности за приложухой (БД, всякие файлопомйки и т.п.)

Ладно. Для старта. Мои текущие действия. Я создаю коллекцию зарегистрированных пользователей с зашифрованными паролями. А дальше вернусь уже дальше вопросики свои задавать)

ага, пока не надо на это распыляться, просто держать в голове что этим надо будет озаботиться

Короче, я понял, первое что мне нужно, это зашифровать пароли)

Лучше захешировать с солью. Что бы даже в теории нельзя было получить исходный пароль.

Лучше захешировать с солью. Что бы даже в теории нельзя было получить исходный пароль.

Ну на счет этого я в курсе. Щас буду гуглить как это правильно сделать Node

Ребят, а как искать по айди объекта в бд? Делаю вот так: db.collection('complete').find({_id: objId}).toArray() - не находит. *objId == айди объекта в формате 5bbb37a64631322f2c819606

Соль — это не секрет и метод — это не секрет. По этому поводу можно почитать как сделана аутентификация в *nix системах. Ща ссыль поищу....

Ребят, а как искать по айди объекта в бд? Делаю вот так: db.collection('complete').find({_id: objId}).toArray() - не находит. *objId == айди объекта в формате 5bbb37a64631322f2c819606

вам нужно указаться объект типа ObjectID, чтобы по нему искало. он делается из строки которую указали

Ребят, а как искать по айди объекта в бд? Делаю вот так: db.collection('complete').find({_id: objId}).toArray() - не находит. *objId == айди объекта в формате 5bbb37a64631322f2c819606

Все ещё на нативном драйвере сидишь?

вам нужно указаться объект типа ObjectID, чтобы по нему искало. он делается из строки которую указали

а как это сделать?

Все ещё на нативном драйвере сидишь?

хочу перейти, но все руки не доходят на этой недельке, думаю, успею

Соль — это не секрет и метод — это не секрет. По этому поводу можно почитать как сделана аутентификация в *nix системах. Ща ссыль поищу....

https://en.m.wikipedia.org/wiki/Passwd#Shadow_file

зависит от языка и драйвера, проще всего в доке найти пример

зависит от языка и драйвера, проще всего в доке найти пример

Спасибо!

Ох, что-то странное происходит. В общем. Тут лучше гистами уже отправлять. Вот так я создал экземпляр своего соединения https://gist.github.com/demidborodin/39f9588b611c374a48657ec685bfc242

Я принимаю пост запрос, с другого сервера, в первый раз все окей, но стоит отправить запрос повторно

Ну и вот код моего супер сложного сервера))) https://gist.github.com/demidborodin/515c57937780c31435db1375163f10ba Есть какие нибудь идеи

Хм, ну что бы создать "экземпляр" коннекта и потом его во все модули таскать, куда мне нужно...

а вообще, я бы взял монгуз

Хм, ну что бы создать "экземпляр" коннекта и потом его во все модули таскать, куда мне нужно...

почему его не прописать выше?

почему его не прописать выше?

А какая разница?

ну, читабельнее код, это для начала

Ну у меня привычка давно такая. Сначала либы, потом константы, потом модуль который я экспортирую.

Суть дела это вроде не меняет)

Суть дела это вроде не меняет)

лан, у тебя какая монга то?

лан, у тебя какая монга то?

4 с чем-то

4.0.2

вечер добрый! Подскажите, пожалуйста, при каких обстоятельствах (как надо налажать) может не находиться объект в монгe? Пишу bot.action(/sendLoc_*/, (ctx) => { let objId = ctx.match.input.substr(8) ctx.answerCbQuery() console.log(objId) db.collection('complete').find({orderId: objId}).toArray() .then((src) => { console.log(src) bot.telegram.sendLocation(62253745, src[0].location.latitude, src[0].location.longitude) }) .catch((err) => console.log(err)) }) , выходит пустой массив. Смотрю в комассе, там точно есть объект, который мне нужен и в нужной коллекции

Я второй день или третий уже с монго бадаюсь и пока я не стремлюсь за качеством кода... мне бы как бы, пришли данные, проверить данные, записать данные... на данном этапе меня вроде как больше ничего не интересует)

кроме как ошибки в консоле)

вечер добрый! Подскажите, пожалуйста, при каких обстоятельствах (как надо налажать) может не находиться объект в монгe? Пишу bot.action(/sendLoc_*/, (ctx) => { let objId = ctx.match.input.substr(8) ctx.answerCbQuery() console.log(objId) db.collection('complete').find({orderId: objId}).toArray() .then((src) => { console.log(src) bot.telegram.sendLocation(62253745, src[0].location.latitude, src[0].location.longitude) }) .catch((err) => console.log(err)) }) , выходит пустой массив. Смотрю в комассе, там точно есть объект, который мне нужен и в нужной коллекции

Может типы orderId и objId разные? Число и строка например

кроме как ошибки в консоле)

В консоли монги работает?

Может типы orderId и objId разные? Число и строка например

Блин, реально. Не представляете, как я благодарен Вам:)

Блин, реально. Не представляете, как я благодарен Вам:)

ты везде будешь по кусочкам спрашивать про бота своего?

ты везде будешь по кусочкам спрашивать про бота своего?

по соответствующим теме вопроса чатам, в телеграфе же возмущаться начали, шо не по теме

Блин, реально. Не представляете, как я благодарен Вам:)

Да не за что :) обращайтесь если что

Не, я спрашиваю ваши запросы если в консоли выполнить, работает?

Ща через Postman попробую. Я по факту ничего не делаю. Просто перехожу по урлу, открываю коннект, закрываю коннект. Все...

Никаких запросов и т.д.

Просто я в монгузе, как ? в апельсинах :)

Да дичь какая-то...

Вроде все пашет, но зачем мне каждый раз такое вываливать в консоль

Ща пойду ишью почитаю

М, кайф, у них ишью нет...

Пришлось на редеете тему запилить)

Мда, просто целый день в никуда, так я и не понял от куда этот варниннг лезет

ребята, я подвис с $lookup. Он как то не так работает в монгусе, да?

ребята, я подвис с $lookup. Он как то не так работает в монгусе, да?

?

А как он должен работать?

это я к тому, что есть ли разница в работе без монгуса или нет

Ну, в плане?

может просто есть очевидные моменты. если нет, то тогда щас распишу кейс

Монгуз на нативном драйвере работает так-то

может просто есть очевидные моменты. если нет, то тогда щас распишу кейс

Та ты расписывай конечно, я прост ща отключусь

да, щас

короче есть коллекция тикетов. есть коллекция сообщений. у каждого сообщения назначен тикет через ref. мне нужно получить сколько-то тикетов и к ним получить последние 3 сообщения сейчас покажу как у меня это выглядит

let tickets = await Ticket.aggregate([ { $match: { opened: true}}, { $lookup: { from: 'messages', let: { tid: '$_id' }, pipeline: [ { $sort: { createdAt: -1 } }, { $limit: 3 }, { $match: { $expr: {ticket: '$$tid' }}}, ], as: 'messages' } }, ])

А шо не так?

он выдает месседжи только по одному тикету, который был первым в запросе

Ну значит не матчится

то есть в итоге в каждом тикете у меня получаются месседжи для одного первого тикета

дап ) в этом и вопрос. не пойму где криво

читаю доку, вроде все верно делаю

А у тебя в pipeline $match идёт последним, так должно быть?

по тикетам да, иначе не срабатывает сортировка

Ща

сорри, по месседжам

Поняо

Вижу

поправил, у меня там в let не хватало $

Получилось?

нене, не помогает

Пиши $match: { $expr :{ $eq:['$ticket', '$$ttid']}}

Пробуй так

теперь в пером тикете есть, а в остальных пусто

Ты match вверх передвинь, как я понял. Он же там лимитит сразу и потом матчит

Мб поэтому

щас