如何用密码保护单个页面(这不是身份验证系统的一部分)？

Question

我正在为合同创建一个Meteor应用程序。已登录的用户可以创建合同。但我希望他们能够将合同发送给另一方，后者无需注册或创建帐户即可查看合同。问题是，即使URL很长并且是随机的，www.example.com/docs/bM7GjrRq1wABYdxws3 --我不确定它是否足够私有--因为也许所有这些合同都可以很容易地被抓取或者在搜索like this中结束。

我希望合同的创建者设置一个密码，该密码可以与合同的链接一起通过电子邮件发送给另一方。在当事人可以查看合同之前，他们需要输入密码。

我的解决方案是允许用户对页面进行密码保护(但不需要用户名/电子邮件)。但我不确定该怎么做。如何使用用户设置的密码对页面进行密码保护？

Answer 1

您可以将密码保存在mongodb上的页面对象中。然后，当他创建或编辑页面时，他可能会选择公开或使用密码共享。

publish方法可能看起来有点像这样。

Meteor.publish("page", function (){
    if (!this.userId) {
        return Pages.find({
            _id: Session.get("pageId"),
            private: true,
            password: Session.get("pagePassword")
        });
    } else {
        // code for logged in users
    }
});

当然，最好存储密码的散列，并与用户输入的散列进行比较，而不是存储原始密码。