javascript - 如何在 Laravel 中限制与管理相关的 AngularJs Controller ？

Question

在 Laravel 中，您可以将对某些 Controller (例如与管理相关的 Controller ，如 Admin/UsersController、Admin/SettingsController 等)的访问限制为特定的用户 session 。因为它是服务器端的，所以除非经过身份验证，否则用户无法窥探此类 Controller 。

对于 AngularJs 来说，代码驻留在浏览器中。因此，任何人都可以查看 JavaScript 源代码，并可能弄清楚应用程序的行为。假设他可能会发现有管理管理相关数据的 Controller 。或者任何人都可能尝试暴力搜索应用程序的 URL 以获取要观察的 javascript 文件。假设他看着 http://myapp.com/AdminSettingsController.js其中经过身份验证的用户应该只能看到或根本不应该看到。

回到主要问题，您如何解决此类问题？

Answer 1

这个问题只有一个解决方案。 仅将 JavaScript 视为用户界面的语言。仅此而已。不要在浏览器中存储任何敏感数据，也不要存储任何敏感逻辑(例如数据库查询)。 无法向客户端隐藏网络流量或源代码。

我通常在客户端创建某种用户对象，其中包含用于解析权限的用户 Angular 色，并且我将权限用于显示控件，例如仅向管理员等显示一些按钮。但是，这只会影响页面的显示，如果用户与该控件交互，则控件依赖于服务器，并且如果用户没有适当的权限服务器也是如此，与控件的交互失败，因此，如果任何有一定知识的人更改客户端上的用户对象并授予他管理员 Angular 色，他只能看到管理员会看到的控件，但他不能执行管理员操作，也不能执行管理员操作。看到任何敏感数据。