Безопасно ли использовать угловые разрешения ngx для управления acl?

Question

Я использую Angular 6 и хочу контролировать доступ пользователей.Насколько я знаю, рекомендуется управлять acl в бэкэнде, но у angular есть несколько пакетов, таких как ngx permissions , чтобы сделать это во внешнем интерфейсе.Безопасно ли использовать его функции?Или я не в ту ногу!?

Answer 1

Если ваше угловое приложение не имеет связи с бэкэндом (служба REST), тогда все будет в порядке - тогда это единственный способ.Но если вы подключены к какому-либо сервису, который публикуется через интерфейс, вы должны также создать там некоторую защиту.

Answer 2

Нет, небезопасно управлять только вашей безопасностью в вашем внешнем приложении.

Если у вас есть приложение Angular, очень вероятно, что оно подключается к некоторомуend API, который должен быть защищен.

Давайте рассмотрим простой пример.

• У вас есть кнопка Сохранить
• При нажатии кнопки Сохранить, он вызывает ваш APIдля создания или обновления записи

Вы можете легко скрыть кнопку Сохранить или предотвратить вызовы вашего API, возможно, используя разрешения ngx.

Однако ничто не мешает пользователю узнать, чтокнопка выполняет этот вызов и выполняет вызов за пределами вашего приложения.Таким образом, ваш API должен быть защищен.

«Защита» вашего клиентского приложения - всего лишь средство для улучшения взаимодействия с пользователем.

Также упомянуто предупреждение .автором, если ngx-permissions