javascript - 如何验证已签名的 cookie 在前端是否有效？

Question

我正在开发一个 React 应用程序。我正在定义用户 Angular 色并根据 Angular 色的权限级别限制对组件的访问。我正在寻找使用签名的 cookie 来设置来自 php 后端的权限。当我判断应用程序是否应该根据cookie中的数据渲染一个组件时，如何在不将cookie发送到后端的情况下验证cookie中的 Angular 色没有被用户重新定义？

Answer 1

在我看来，这不是正确的方法。组件应该可以免费加载 - 如果组件内置了一些未经身份验证的用户不应该看到的东西，没有什么可以阻止某人进入源代码并自己发现它。

对于前端应用程序，您必须采用不同的方法 - 所有组件和 UI 都是公开的。当组件从服务器获取信息以显示给用户时，服务器仍将执行 session 身份验证并以 4xx 响应(401 将是一个很好的起点)，组件将适本地处理该响应。