Headless CMS 技术能够允许我们构建基于 API 的、无需依赖于特定前端技术的 CMS 架构。 Headless CMS 的数据安全性,是保护你的用户数据不被很容易地窃取、篡改或泄漏出来的重要一环。
数据处理
Headless CMS 将数据视为事件(Events)的序列,每个事件都是数据流中的一个状态。每个事件的状态都由用户在其主机上上传的信息组成。任何一个事件的状态均可导致一个数据的行为,例如创建内容、更新内容、删除内容等。针对事件的状态可以加以监测和记录,保证数据的完整性和保密性。
一种有效的保护你的数据完整性和保密性的方法,便是基于和事件状态有关的信息进行加密和解密。如果对于上传的数据进行加密处理,只有拥有解密密钥的人才可以对这个数据进行解密,这就保护了内容的隐私性。
控制访问
为了提高 Headless CMS 的数据安全性,还可以采用有效的访问控制方法。控制访问分为身份认证和授权两部分。
身份认证
身份认证通常是建立在用户名和密码成对的认证系统上的。CoreMedia 的 Headless CMS 建议使用 OAuth2,以搭建一个更加安全的身份验证系统。
授权
身份认证之后需要授权才能读取、修改、删除内容。授权通常是基于角色的访问控制。角色通常表示用户类型,例如:内容管理员、作者、审批员等。 设置规则所需的授权框架是指定每个角色和它们的权限,从而限制他们对数据资源所进行的操作。
来看一个使用 Express.js 建立了一个鉴权 middleware 的示例。这个中间件会检查 request 的 Authorization 头,使用有效的身份验证令牌(token),以确保用户有足够的权限访问所请求的 URL。
----- ------- - -------------------
----- --- - ------------------------
----- --- - ----------
----- ------------ - ----- ---- ----- -- -
----- ---------- - -----------------------------
----- ----- - ---------- -- ------------------ ------
-- ------ -- ----- -
------ --------------------
-
----------------- -------------------------------- ----- ----- -- -
-- ----- -
------ --------------------
-
-------- - -----
-------
---
-
-------------------- ------------- ----- ---- -- -
-------------------------- -- ---------- --- -----------------
---结论
Headless CMS 技术和其它的 Web 技术一样,同样需要考虑数据安全性。好的数据安全措施让开发人员可以专注于业务模型,而不会被业务逻辑繁琐的数据安全性问题所干扰。 通过使用有效的加密技术和访问控制,我们可以建立更加安全的 Headless CMS 系统。
来源:JavaScript中文网 ,转载请注明来源 本文地址:https://www.javascriptcn.com/post/671a11ce9babaf620fa0dad7