Comment protéger le champ mot de passe dans la Mangouste/MongoDB donc il ne sera pas de retour dans une requête lorsque je remplir collections?

Supposons que j'ai deux collections/schemas. On est les Utilisateurs de Schéma avec un nom d'utilisateur et le mot de passe de champs, alors, j'ai un Blogs Schéma qui a une référence pour les Utilisateurs de Schéma dans le champ auteur. Si j'utilise la Mangouste à faire quelque chose comme

Blogs.findOne({...}).populate("user").exec()

J'aurai le Blog de document et l'utilisateur a renseigné trop, mais comment puis-je prévenir la Mangouste/MongoDB de retourner le champ mot de passe? Le champ mot de passe est haché, mais il ne devrait pas être retourné.

Je sais que je peux omettre le champ mot de passe et revenir le reste des champs dans une requête simple, mais comment dois-je faire avec les remplir. Aussi, est-il un moyen élégant pour ce faire?

Également, dans certaines situations, j'ai besoin d'obtenir le champ mot de passe, comme lorsque l'utilisateur souhaite de connexion ou modifier le mot de passe.

vous pouvez aussi le faire .remplir('utilisateur': 1, 'mot de passe':0)

InformationsquelleAutor Luis Elizondo | 2012-08-23

59
```
.populate('user' , '-password')
```
http://mongoosejs.com/docs/populate.html

JohnnyHKs réponse à l'aide des options de Schéma est probablement la voie à suivre ici.

Également noter que query.exclude() n'existe que dans le 2.x branche.
- cela fonctionnera également .remplir('utilisateur': 1, 'mot de passe':0)
InformationsquelleAutor aaronheckmann
248

Vous pouvez changer le comportement par défaut lors de la définition du schéma de niveau à l'aide de la select attribut du champ:
```
password: { type: String, select: false }
```
Ensuite, vous pouvez tirer en tant que de besoin dans find et populate appels via la zone de sélection comme '+password'. Par exemple:
```
Users.findOne({_id: id}).select('+password').exec(...);
```
- Grand. Pouvez-vous donner un exemple qui pour l'ajouter à trouver? En supposant que j'ai: les Utilisateurs.find({id: _id}) où dois-je ajouter le "+mot de passe+?
- Trouve l'exemple dans le lien que vous avez fourni. mongoosejs.com/docs/api.html#schematype_SchemaType-select Merci
- Est-il un moyen de l'appliquer à l'objet passé à la méthode save() de rappel? Tels que, lorsque j'enregistre un profil d'utilisateur, le mot de passe n'est pas inclus dans le rappel de paramètre.
- C'est de loin la meilleure réponse, à mon avis. Ajouter cette fois, et c'est exclure. Beaucoup mieux que d'ajouter de sélectionner ou d'exclure l'option à chaque requête.
- Cela devrait être la réponse ultime. Ajouté au schéma, et n'ont pas l'oublier, à l'exclusion des lors des requêtes.
InformationsquelleAutor JohnnyHK
19

Edit:

Après avoir essayé les deux approches, j'ai trouvé que le excluent toujours approche ne fonctionnait pas pour moi pour une raison quelconque à l'aide de passeport, de stratégie locale, ne sais vraiment pas pourquoi.

Donc, c'est ce que j'ai fini par utiliser:
```
Blogs.findOne({_id: id})
    .populate("user", "-password -someOtherField -AnotherField")
    .populate("comments.items.user")
    .exec(function(error, result) {
        if(error) handleError(error);
        callback(error, result);
    });
```
Il n'y a rien de mal avec l'exclure toujours dans l'approche, il n'a tout simplement pas travailler avec passeport pour quelque raison que mes tests m'a dit qu'en fait, le mot de passe a été exclus /inclus quand je voulais. Le seul problème avec la est toujours la démarche, c'est que j'ai fondamentalement besoin pour aller de travers à chaque appel, je n'ai à la base de données et d'exclure le mot de passe qui est beaucoup de travail.

Après une paire de grandes réponses, j'ai découvert il y a deux manières de le faire, le "toujours inclure et exclure parfois" et "toujours exclure et inclure parfois"?

Un exemple à la fois:

L'est toujours, mais excluent parfois exemple:
```
Users.find().select("-password")
```
ou
```
Users.find().exclude("password")
```
La exlucde toujours, mais comprennent parfois exemple:
```
Users.find().select("+password")
```
mais vous devez définir dans le schéma:
```
password: { type: String, select: false }
```
- Je pencherais pour la dernière option. Ne jamais sélectionner le mot de passe, sauf dans le logIn / passwordUpdate fonctions dont vous avez réellement besoin dans.
- Pour une raison que l'option ne fonctionne pas avec Passport.js stratégie locale, ne sais pas pourquoi.
- Bonne réponse, merci!!! Je ne sais pas pourquoi mais quand je fais .select("+field") il n'apporte que la __id, même si .select("-field") exclut bien le domaine que je veux
- Désolé, il fonctionne parfaitement, n'a pas remarqué que select: false est obligatoire
- Ce travail est pour ma stratégie locale: les attendent de l'Utilisateur.findOne({ e-mail: nom d'utilisateur }, { mot de passe: 1 }, async (err, utilisateur) => { ... });
InformationsquelleAutor Luis Elizondo
10

User.find().select('-password') est la bonne réponse. Vous ne pouvez pas ajouter de select: false sur le Schéma, car il ne fonctionnera pas, si vous souhaitez vous connecter.
- Pouvez-vous ne pas remplacer le comportement dans le point de terminaison de connexion? Si oui, cela semble être l'option la plus sûre.
- il ne sera pas.
InformationsquelleAutor Ylli Gashi
7

Vous pouvez le faire en utilisant le schéma, par exemple:
```
const UserSchema = new Schema({/* */})

UserSchema.set('toJSON', {
    transform: function(doc, ret, opt) {
        delete ret['password']
        return ret
    }
})

const User = mongoose.model('User', UserSchema)
User.findOne() //This should return an object excluding the password field
```
- J'ai testé toute les réponses, je pense que c'est la meilleure option si vous êtes à l'élaboration d'un api.
- Cela ne veut pas supprimer des champs sur la population.
- La meilleure option pour moi, cette démarche qui les fais pas en conflit avec ma méthode d'authentification
InformationsquelleAutor Ikbel
3

En supposant que le champ mot de passe est "password", vous pouvez le faire:
```
.exclude('password')
```
Il y a de plus en plus vastes exemple ici

Qui est axé sur les commentaires, mais c'est le même principe en jeu.

C'est la même chose à l'aide d'une projection dans la requête de MongoDB et en passant {"password" : 0} dans le champ de projection. Voir ici
- Grand. Merci. J'aime cette approche.
InformationsquelleAutor Adam Comerford

J'utilise pour cacher champ de mot de passe dans mon REPOS réponse JSON

UserSchema.methods.toJSON = function() {
 var obj = this.toObject(); //or var obj = this;
 delete obj.password;
 return obj;
}

module.exports = mongoose.model('User', UserSchema);

InformationsquelleAutor Gere

2

La solution est de ne jamais stocker les mots de passe en clair. Vous devez utiliser un programme comme bcrypt ou mot de passe hash.

Exemple d'utilisation de hachage du mot de passe:
```
 var passwordHash = require('password-hash');

    var hashedPassword = passwordHash.generate('password123');

    console.log(hashedPassword); //sha1$3I7HRwy7$cbfdac6008f9cab4083784cbd1874f76618d2a97
```
Exemple d'utilisation pour vérifier le mot de passe:
```
var passwordHash = require('./lib/password-hash');

var hashedPassword = 'sha1$3I7HRwy7$cbfdac6008f9cab4083784cbd1874f76618d2a97';

console.log(passwordHash.verify('password123', hashedPassword)); //true
console.log(passwordHash.verify('Password0', hashedPassword)); //false
```
- Quel que soit le mot de passe haché ou pas, le mot de passe/le hachage doit jamais montré à l'utilisateur. Un attaquant peut obtenir les informations les plus importantes du hachage de mot de passe (choix de l'algorithme qui a été utilisé) et ainsi de.
InformationsquelleAutor Cameron Hudson
2

Vous pouvez passer une DocumentToObjectOptions objet de schéma.la méthode toJSON() ou schéma.toObject().

Voir Tapuscrit définition de @types/mangouste
```
 /**
 * The return value of this method is used in calls to JSON.stringify(doc).
 * This method accepts the same options as Document#toObject. To apply the
 * options to every document of your schema by default, set your schemas
 * toJSON option to the same argument.
 */
toJSON(options?: DocumentToObjectOptions): any;

/**
 * Converts this document into a plain javascript object, ready for storage in MongoDB.
 * Buffers are converted to instances of mongodb.Binary for proper storage.
 */
toObject(options?: DocumentToObjectOptions): any;
```
DocumentToObjectOptions a une option transformer qui exécute une fonction personnalisée après la conversion du document à l'objet javascript. Ici vous pouvez masquer ou modifier les propriétés pour combler vos besoins.

Donc, disons que vous êtes à l'aide de schémas.toObject() et que vous souhaitez masquer le mot de passe de chemin d'accès de l'Utilisateur de votre schéma. Vous devez configurer un général de transformation de la fonction qui sera exécutée après chaque toObject() de l'appel.
```
UserSchema.set('toObject', {
  transform: (doc, ret, opt) => {
   delete ret.password;
   return ret;
  }
});
```
InformationsquelleAutor netishix
1

Blogs.findOne({ _id: id }, { "password": 0 }).populate("user").exec()

InformationsquelleAutor Ricky
1

Tout en utilisant password: { type: String, select: false } vous devriez garder à l'esprit qu'il exclut par mot de passe lorsque nous en avons besoin pour l'authentification. Donc, être préparé pour la gérer comme vous le souhaitez.

InformationsquelleAutor Anand Kapdi

Ce n'est plus un corollaire à la question initiale, mais c'est la question que je suis tombé sur essayer de résoudre mon problème...

À savoir, comment faire pour envoyer l'utilisateur vers le client, de l'utilisateur.save() de rappel sans le champ mot de passe.

Cas d'utilisation: l'utilisateur de l'application des mises à jour leurs informations de profil/paramètres du client (mot de passe, informations de contact, whatevs). Vous souhaitez envoyer la mise à jour des informations de l'utilisateur vers le client dans la réponse, une fois qu'il a enregistré avec succès à mongoDB.

User.findById(userId, function (err, user) {
    //err handling

    user.propToUpdate = updateValue;

    user.save(function(err) {
         //err handling

         /**
          * convert the user document to a JavaScript object with the 
          * mongoose Document's toObject() method,
          * then create a new object without the password property...
          * easiest way is lodash's _.omit function if you're using lodash 
          */

         var sanitizedUser = _.omit(user.toObject(), 'password');
         return res.status(201).send(sanitizedUser);
    });
});

InformationsquelleAutor Bennett Adams

J'ai trouvé une autre manière de faire, par l'ajout de certains paramètres du schéma de configuration.

const userSchema = new Schema({
    name: {type: String, required: false, minlength: 5},
    email: {type: String, required: true, minlength: 5},
    phone: String,
    password: String,
    password_reset: String,
}, { toJSON: { 
              virtuals: true,
              transform: function (doc, ret) {
                delete ret._id;
                delete ret.password;
                delete ret.password_reset;
                return ret;
              }

            }, timestamps: true });

Par l'ajout de fonction de transformation de la méthode toJSON objet avec le nom de zone à exclure. comme Dans docs a déclaré:

Nous devons effectuer une transformation de l'objet en fonction
sur certains critères, par exemple à supprimer certaines informations sensibles ou de restitution d'un
objet personnalisé. Dans ce cas, nous avons mis l'option transform fonction.

InformationsquelleAutor Nerius Jok

router.get('/users',auth,(req,res)=>{
   User.findById(req.user.id)
    //skip password
    .select('-password')
    .then(user => {
        res.json(user)
    })
})

InformationsquelleAutor Desai Ramesh

Vous devez vous connecter pour publier un commentaire.