javascript - 使用 JavaScript 管理 Web 应用程序权限策略-6ren

javascript - 使用 JavaScript 管理 Web 应用程序权限策略

转载作者：行者123 更新时间：2023-12-02 17:29:03

24

4

我很想知道不同的开发人员通常使用什么策略来管理单页 Web 应用程序不同部分的用户权限策略。

Just for a case: under single-page web app I mean web application with only one HTML (JSP, PHP, whatever) page as entry point and all the other client UI components/pages built with JavaScript).

是否有任何最佳实践、方法或框架可以使这件事变得更加简单和直接？

举个例子:

有一个单页 Web 应用程序，有 2 个选项卡:A 和 B
每个选项卡都有 3 个组件(网格、按钮等):A1、A2、A3 和 B1、B2、B3
有 3 个用户组:U1、U2 和 U3
U1 可以访问这两个选项卡和所有组件
U2 可以访问这两个选项卡，但只能访问组件 A1 和 B1
U3 只能访问选项卡 A 以及该选项卡内的所有组件

表面上的一个解决方案是在页面加载时构建一个全局 JS 对象(或使用单独的 AJAX 请求)并将用户组存储在那里。然后使用代码中的条件来验证当前组并允许或限制特定功能。一个简化的示例如下所示:

index.html

<script type="text/javascript">
    window.onload = function() {                
        MyApplication = {
            userGroup : 'U3' // can be also U1 or U2. This value comes from server
        };
    }
</script>

然后在代码中我们将进行如下检查:

if (MyApplication.userGroup == 'U1') {...}
if (MyApplication.userGroup == 'U1' || MyApplication.userGroup == 'U2') {...}
if (MyApplication.userGroup != 'U3') {...}

该示例可以扩展为根据用户组以不同方式处理事件的场景。假设 A1 是按钮，A1OnClickHandler 是其点击处理程序:

var A1OnClickHandler = function() {
    if (MyApplication.userGroup == 'U1') {
        console.log('A very private information'); 
    } else if (MyApplication.userGroup == 'U2') {
        console.log('Less private information'); 
    } else if (MyApplication.userGroup == 'U3') {
        console.log('Public information'); 
    }
}

我所描述的方法的一个缺点是用户可以在页面呈现后动态更改 MyApplication.userGroup 的值。只需打开控制台并输入:

MyApplication.userGroup = 'U1';

Bingo，组 U3 的用户现在拥有 U1 的权限，并且将能够在 A1 点击时看到私有(private)信息。好吧，他仍然看不到那些因为初始条件而没有在页面上渲染的组件。但在这些后检查条件之后，他仍然能够访问可用的功能。

说实话，我对无法在网络上找到与此问题相关的任何具体信息感到有点惊讶。我错过了什么吗？如果有人可以分享自己解决此类问题的经验，那将会很有趣。

更新:当然，所有不应该由 U2 U3 组的用户执行的操作都不会在服务器上执行，因为服务器上也有安全检查。例如，即使黑客能够在前端显示按钮或字段，该操作也不会在后端执行。但我正在寻找的是根本不给前端做这种事情的机会。

最佳答案

您不能将 JavaScript 用于与权限或安全相关的任何内容:用户只需打开浏览器控制台并编辑您的 JavaScript。所以这种方法是不行的(好吧，除非你根本不在乎)。

正确的解决方案是在服务器上实现安全性，并仅将那些组件发送到特定用户(您通过某种登录方式识别)可以根据服务器上存储的权限实际查看/使用的浏览器。

如果一个组件包含敏感部分，那么您需要找到一种方法来拆分它并根据用户的不同向浏览器发送不同的版本。

[编辑]尝试找出一种方法将脚本拆分为更小的部分(组件)。 ZK Framework工作原理如下:您有一个 HTML 组件框架(组件 = JavaScript、HTML 模板 + CSS)以及一个 JavaScript 核心，该核心加载组件并根据服务器准备的 JSON 配置来配置它们。

这样，您就可以在 PHP 中构建 UI 结构，将其转换为 JSON，将其发送到客户端，客户端将使用此“配置”呈现 UI。这些组件将是可重复使用的，并且对所有客户端都是相同的。根本不需要在客户端检查权限，因为客户端代码永远不需要知道。

关于javascript - 使用 JavaScript 管理 Web 应用程序权限策略，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/28041009/

24

4

0

文章推荐： scala - 从 Supervisor 重新启动后向 actor 发送消息

文章推荐： javascript - 如何测试变量是Map类型还是Array类型？

文章推荐： google-sheets - Google Spreadsheet 中的外部 API 调用可以吗？

文章推荐： python-3.x - string.find() 的计算结果为 true

clojure:(应用 fn coll)与(应用 #(应用 fn %&)coll)
我正在通过 labrepl 工作，我看到了一些遵循此模式的代码: ;; Pattern (apply #(apply f %&) coll) ;; Concrete example user=> (a
ios - 在应用商店提交 iPhone 应用，然后决定提交 iPad 应用？
我从未向应用商店提交过应用，但我会在不久的将来提交。到目前为止，我对为 iPhone 而非 iPad 进行设计感到很自在。我了解，通过将通用PAID 应用放到应用商店，客户只需支付一次就可以同时使
iphone - 使用多个 Facebook 应用 ID 的 iOS 应用
我有一个应用程序，它使用不同的 Facebook 应用程序(2 个不同的 AppID)在 Facebook 上发布并显示它是“通过 iPhone”/“通过 iPad”。当 Facebook 应用程序
javascript - 在 IOS 应用 Webview 中运行 Angular 应用
我有一个要求，我们必须通过将网站源文件保存在本地 iOS 应用程序中来在 iOS 应用程序 Webview 中运行网站。 Angular 需要服务器来运行应用程序，但由于我们将文件保存在本地，我们无法
facebook-graph-api - 应用 > OAuth2 服务器 > Facebook > OAuth2 服务器 > 应用
所以我有一个单页客户端应用程序。正常流程: 应用程序 -> OAuth2 服务器 -> 应用程序我们有自己的 OAuth2 服务器，因此人们可以登录应用程序并获取与用户实体关联的 access_t
Android 应用 A 想要跟踪 Android 应用 B 安装的 Google Play 推荐数据
假设我有一个安装在用户设备上的 Android 应用程序 A，我的应用程序有一个 AppWidget，我们可以让其他 Android 开发人员在其中以每次安装成本为基础发布他们的应用程序推广广告。因此
JavaScript 应用
Secrets of the JavaScript Ninja中有一个例子它提供了以下代码来绕过 JavaScript 的 Math.min() 函数，该函数需要一个可变长度列表。 Example:
JavaScript 应用()
当我分别将数组和对象传递给 function.apply() 时，我得到 NaN 的 o/p，但是当我传递对象和数组时，我得到一个数字。为什么会发生这种情况？由于数组也被视为对象，为什么我无法使用它
ASP转换格林威治时间函数DateDiff()应用
CFSDN坚持开源创造价值，我们致力于搭建一个资源共享平台，让每一个IT人在这里找到属于你的精彩世界. 这篇CFSDN的博客文章ASP转换格林威治时间函数DateDiff()应用由作者收集整理，如果你
应用 map 后保留列表名称
我正在将列表传递给 map并且想要返回一个带有合并名称的 data.frame 对象。例如: library(tidyverse) library(broom) mtcars %>% spl
r - 计算每行的每周返回 - 应用
我有一个非常基本的问题，但我不知道如何实现它:我有一个返回数据框，其中每个工具的返回值是按行排列的: tmp<-as.data.frame(t(data.frame(a=rnorm(250,0,1)
创建第二个群组的 Facebook 应用
我正在使用我的 FB 应用创建群组并邀请用户加入我的应用群组，第一次一切正常。当我尝试创建另一个组时，出现以下错误: {"(OAuthException - #4009) (#4009) 在有更多用户
适用于特定设备的 iOS 应用
我们正在开发一款类似于“会说话的本”应用程序的 child 应用程序。它包含大量用于交互式动画的 JPEG 图像序列。问题是动画在 iPad Air 上播放正常，但在 iPad 2 上播放缓慢或滞后
clojure - 应用 Clojure
我关注 clojure 一段时间了，它的一些功能非常令人兴奋(持久数据结构、函数式方法、不可变状态)。然而，由于我仍在学习，我想了解如何在实际场景中应用，证明其好处，然后演化并应用于更复杂的问题。即，
非英语版本的 iOS 应用
我开发了一个仅使用挪威语的应用程序。该应用程序不使用本地化，因为它应该仅以一种语言(挪威语)显示。但是，我已在 Info.plist 文件中将“本地化 native 开发区域”设置为“no”。我还使用
haskell - 应用 <* 的一元等价物
读完 Anthony's response 后上a style-related parser question ，我试图说服自己编写单体解析器仍然可以相当紧凑。所以而不是 reference ::
r - 多核::应用？
multicore 库中是否有类似 sapply 的东西？还是我必须 unlist(mclapply(..)) 才能实现这一点？如果它不存在:推理是什么？提前致谢，如果这是一个愚蠢的问题，我们深表
r - 如何使用函数查看文件中的结果并*应用？
我喜欢在窗口中弹出结果，以便更容易查看和查找(例如，它们不会随着控制台继续滚动而丢失)。一种方法是使用 sink() 和 file.show()。例如: y <- rnorm(100); x <- r
应用@valid之前的spring mvc进程对象
我有一个如下所示的 spring mvc Controller @RequestMapping(value="/new", method=RequestMethod.POST) public Stri
c# - 应用 Bootstrap
我正在阅读 StructureMap关于依赖注入(inject)，首先有两部分初始化映射，具体类类型的接口(interface)，另一部分只是实例化(请求实例)。第一部分需要配置和设置，这是在 Bo

首页

博学

6Ren·AI

商城

javascript - 使用 JavaScript 管理 Web 应用程序权限策略