Як захистити поле пароля в Mongoose / MongoDB, щоб воно не поверталось у запиті, коли я заповнюю колекції?

Припустимо, у мене є дві колекції / схеми. Одним із них є схема користувачів із полями імені користувача та пароля, тоді у мене є схема блогів, яка має посилання на схему користувачів у полі автора. Якщо я використовую Mongoose, щоб зробити щось подібне

Blogs.findOne({...}).populate("user").exec()

У мене буде заповнений документ блогу та користувач, але як я можу завадити Mongoose / MongoDB повертати поле пароля? Поле пароля хешоване, але його не слід повертати.

Я знаю, що можу пропустити поле пароля та повернути решту полів у простому запиті, але як це зробити за допомогою заповнення. Крім того, чи є якийсь елегантний спосіб це зробити?

Крім того, в деяких ситуаціях мені потрібно отримати поле для пароля, наприклад, коли користувач хоче увійти в систему або змінити пароль.

.populate('user' , '-password')

http://mongoosejs.com/docs/populate.html

Відповідь JohnnyHKs, використовуючи параметри схеми, - це, мабуть, шлях сюди.

Також зверніть увагу, що query.exclude()існує лише у гілці 2.x.

Ви можете змінити поведінку за замовчуванням на рівні визначення схеми, використовуючи selectатрибут поля:

password: { type: String, select: false }

Тоді ви можете втягнути його за потребою findта populateвикликати через вибір поля як '+password'. Наприклад:

Users.findOne({_id: id}).select('+password').exec(...);

Редагувати:

Спробувавши обидва підходи, я виявив, що підхід виключення завжди не працює для мене з якихось причин, використовуючи локальну паспортну стратегію, насправді не знаю чому.

Отже, ось що я в підсумку використав:

Blogs.findOne({_id: id})
    .populate("user", "-password -someOtherField -AnotherField")
    .populate("comments.items.user")
    .exec(function(error, result) {
        if(error) handleError(error);
        callback(error, result);
    });

У підході виключити завжди немає нічого поганого, він просто не працював з паспортом з якихось причин, мої тести сказали мені, що насправді пароль виключався / включався, коли я хотів. Єдина проблема підходу завжди включає те, що мені в основному потрібно пройти кожен дзвінок до бази даних і виключити пароль, що є великою роботою.

Після декількох чудових відповідей я виявив, що це можна зробити двома способами: "завжди включати та виключати іноді" та "завжди виключати та іноді включати"?

Приклад обох:

Приклад включати завжди, але іноді виключати :

Users.find().select("-password")

або

Users.find().exclude("password")

Виняток завжди, але іноді включає приклад:

Users.find().select("+password")

але ви повинні визначити в схемі:

password: { type: String, select: false }

User.find().select('-password')- правильна відповідь. Ви не можете додавати select: falseсхему, оскільки вона не буде працювати, якщо ви хочете увійти.

Ви можете досягти цього, використовуючи схему, наприклад:

const UserSchema = new Schema({/* */})

UserSchema.set('toJSON', {
    transform: function(doc, ret, opt) {
        delete ret['password']
        return ret
    }
})

const User = mongoose.model('User', UserSchema)
User.findOne() // This should return an object excluding the password field

Я використовую для приховування поля пароля в моїй відповіді REST JSON

UserSchema.methods.toJSON = function() {
 var obj = this.toObject(); //or var obj = this;
 delete obj.password;
 return obj;
}

module.exports = mongoose.model('User', UserSchema);

Якщо припустити, що поле вашого пароля - "пароль", ви можете просто зробити:

.exclude('password')

Існує більш великий приклад тут

Це зосереджено на коментарях, але це той самий принцип у грі.

Це те саме, що використовувати проекцію в запиті в MongoDB і передати {"password" : 0}в поле проекції. Дивіться тут

Blogs.findOne({ _id: id }, { "password": 0 }).populate("user").exec()

Рішення полягає в тому, щоб ніколи не зберігати відкриті текстові паролі. Ви повинні використовувати такий пакет, як bcrypt або хеш пароля .

Приклад використання хешу пароля:

 var passwordHash = require('password-hash');

    var hashedPassword = passwordHash.generate('password123');

    console.log(hashedPassword); // sha1$3I7HRwy7$cbfdac6008f9cab4083784cbd1874f76618d2a97

Приклад використання для перевірки пароля:

var passwordHash = require('./lib/password-hash');

var hashedPassword = 'sha1$3I7HRwy7$cbfdac6008f9cab4083784cbd1874f76618d2a97';

console.log(passwordHash.verify('password123', hashedPassword)); // true
console.log(passwordHash.verify('Password0', hashedPassword)); // false

Ви можете передати об'єкт DocumentToObjectOptions до schema.toJSON () або schema.toObject () .

Див. Визначення TypeScript із @ types / mongoose

 /**
 * The return value of this method is used in calls to JSON.stringify(doc).
 * This method accepts the same options as Document#toObject. To apply the
 * options to every document of your schema by default, set your schemas
 * toJSON option to the same argument.
 */
toJSON(options?: DocumentToObjectOptions): any;

/**
 * Converts this document into a plain javascript object, ready for storage in MongoDB.
 * Buffers are converted to instances of mongodb.Binary for proper storage.
 */
toObject(options?: DocumentToObjectOptions): any;

DocumentToObjectOptions має опцію перетворення, яка запускає власну функцію після перетворення документа в об'єкт javascript. Тут ви можете приховати або змінити властивості, щоб задовольнити ваші потреби.

Отже, припустимо, ви використовуєте schema.toObject () і хочете приховати шлях пароля від вашої схеми користувача. Вам слід налаштувати загальну функцію перетворення, яка буде виконуватися після кожного виклику toObject ().

UserSchema.set('toObject', {
  transform: (doc, ret, opt) => {
   delete ret.password;
   return ret;
  }
});

Я знайшов інший спосіб зробити це, додавши деякі налаштування до конфігурації схеми.

const userSchema = new Schema({
    name: {type: String, required: false, minlength: 5},
    email: {type: String, required: true, minlength: 5},
    phone: String,
    password: String,
    password_reset: String,
}, { toJSON: { 
              virtuals: true,
              transform: function (doc, ret) {
                delete ret._id;
                delete ret.password;
                delete ret.password_reset;
                return ret;
              }

            }, timestamps: true });

Додавши функцію перетворення до об’єкта JJSON з назвою поля для виключення. як зазначено в документах :

Можливо, нам доведеться виконати перетворення отриманого об'єкта на основі деяких критеріїв, скажімо, щоб видалити якусь конфіденційну інформацію або повернути користувацький об'єкт. У цьому випадку ми встановлюємо додаткову transformфункцію.

router.get('/users',auth,(req,res)=>{
   User.findById(req.user.id)
    //skip password
    .select('-password')
    .then(user => {
        res.json(user)
    })
})

Під час використання password: { type: String, select: false }слід пам’ятати, що він також виключає пароль, коли він нам потрібен для автентифікації. Тож будьте готові впоратися з цим, як завгодно.

Це скоріше наслідки вихідного питання, але це питання, з яким я зіткнувся, намагаючись вирішити свою проблему ...

А саме, як відправити користувача назад до клієнта у зворотному виклику user.save () без поля пароля.

Приклад використання: користувач програми оновлює інформацію про свій профіль / налаштування від клієнта (пароль, контактна інформація, дані). Ви хочете надіслати оновлену інформацію про користувача назад клієнту у відповіді, як тільки вона буде успішно збережена в mongoDB.

User.findById(userId, function (err, user) {
    // err handling

    user.propToUpdate = updateValue;

    user.save(function(err) {
         // err handling

         /**
          * convert the user document to a JavaScript object with the 
          * mongoose Document's toObject() method,
          * then create a new object without the password property...
          * easiest way is lodash's _.omit function if you're using lodash 
          */

         var sanitizedUser = _.omit(user.toObject(), 'password');
         return res.status(201).send(sanitizedUser);
    });
});