gpt4 book ai didi

SPA 或客户端应用程序中的授权

转载 作者:行者123 更新时间:2023-12-03 01:32:04 26 4
gpt4 key购买 nike

因此,我一直在尝试找出有关如何在 SPA 应用中处理授权(而不是身份验证)的最佳实践。

假设我有一个带有 api 后端的客户端 MVC(Angular、vuejs 等),我们如何管理应用程序的使用授权?

例如,用户和管理员都可以访问,但其中一个比另一个拥有更多的访问权限( View 中的功能)。如果他们都在客户端使用相同的 UI,您如何根据他们的访问来保护和呈现正确的 View ?可以选择获取他们的角色/声明列表,并根据该列表确定在客户端呈现什么内容,但由于这是基于 JS 的,因此可以轻松规避。

在我看来,客户端 mvc 应用程序可能不是正确的解决方案,而 SSR 应用程序更适合这种情况。如果是这样的话,手机壳怎么样?如何在无需开发实际的 native 应用程序的情况下解决移动设备上的相同问题?

最佳答案

这是一个很好的问题,我也思考了很长时间。我不知道为什么没有人回答这个问题。我读了一些关于此的文章和教程,在所有这些文章和教程中,他们都提出了您提到的相同内容:

"getting a list of their roles/claims and based on that determine what to render on the client side"

正如您也提到的,它可以被规避,但我认为因为,授权也会在服务器端完成,那么无论用户如何篡改前端JS(例如使用浏览器的开发工具),他/她无法通过授权 guard 。例如,他们可能能够为所有评论添加删除按钮(除了他们自己的评论),但在他们点击其他用户评论上的删除按钮之后。 由于服务器端授权,服务器不会授权删除操作。所以看来你提到的方法是合法的。

关于SPA 或客户端应用程序中的授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47995749/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com