Как сокрыть секретную информацию о пользователе при авторизации(пароль, id)?

Question

[WhatIsHTML]

Делаю авторизацию по мейлу и паролю на серверной части (Node.JS). С базы данных (MongoDB) вытаскивается вся информация о пользователе включая id и пароль. Пароль хранится в хеш формате, но все равно его ни к чему отправлять на фронтенд, как и пароль.
Думал так :
- сделать отдельный объект userPublic с полями, которые будут идти на клиент

let dataPublic = {
    name: "",
    email: ""
}
module.exports = dataPublic;

- затем при авторизации, копировать в этот объект только те свойства, которые в нем объявлены, т.е. name, email
Object.assign(dataPublic, dataFromDb);
Проблема: в dataPublic копируются все свойства , в том числе те, которые не объявлены в нем.
Возможный выход: Можно вручную написать функцию.
Вопросы:
1.есть стандартные методы для этого?
2. Как лучше и более правильно реализовать то, что я задумал?

Answer 1

[Алексей Ярков]

ПСЕВДОКОД:

User.find({
    email: req.body.email,
    password: User.hashPassword(req.body.password)
}, (err, user) => {
    if(err) {
        return res.status(400).json({error: err});
    }
    if(user) {
        let data = JSON.parse(JSON.stringify(user, ['allow', 'fields', 'in', 'array']));
        return res.status(200).json(data);
    }
});

Answer 2

[Arman]

graphql.org ?

Answer 3

[SilvioMenuel]

Object.assign(dataPublic, dataFromDb);
Проблема: в dataPublic копируются все свойства , в том числе те, которые не объявлены в нем.

А чего вы ожидали? :) Object.assign делает слияние двух объектов и все. Честно говоря, удивительно наивный вопрос, учитывая, что речь идет о node.js, angular и т.п.

Попробуйте так:

let dataPublic = {
    name: dataFromDb.name ,
    email: dataFromDb.email
}
module.exports = dataPublic;

Answer 4

[Иван]

А зачем вообще что-то отправлять клиенту? Как-бы должен клиент отправлять данные, а дальше он авторизуется по сессии.

Comments

[WhatIsHTML]

а если надо вывести данные в профиле или его список друзей?

[Иван]

WhatIsHTML: данные хранятся на сервере, например в сессии или непосредственно в базе. Если вам нужно что-то вывести, то выводите только то что нужно например шаблонизатором.
Т.е. например для handlebars будет как-то так

Имя: {{curentUser.name}}
Почта: {{curentUser.mail}}

При этом в объекте curentUser может быть 100500 переменных или методов. На клиент ничего не уедет. Но вообще "по феншую" запрашивать с БД только те данные, которые нужны, но ХЗ можно ли так в Mongo (я только классическим SQL пользуюсь).

[WhatIsHTML]

Иван: на клиенте ангуляр, ему отдатеся один index.html и уже частичные представления формируются там. Шаблонизатор на сервере не вариант. По крайней мере я не видел, чтобы его использовали с ангуляром

[wostex]

WhatIsHTML: так отправляйте ангуляру объект только с теми данными, которые нужно вывести. Вы же сами формируете response. В ответ можно включить токен JWT и сохранить его на стороне клиента.

[WhatIsHTML]

wostex: да , это понятно. Я пытался доказать, то совсем ничего не отправлять клиенту иногда не получается (такое вообще в реальной жизни бывает?)