Я пытаюсь создать SPA с аутентификацией и ролями. Я читал много учебных пособий, в которых объясняется, как это сделать, и все говорят одну и ту же стратегию:
Сохраните разрешения для localalstorage, например, accessToken и is_admin = 0 | 1. Поэтому, когда вы входите в систему, ответ сервера заполняет эти данные.
Тогда маршрутизация vue просто проверяет эти 2 поля на предмет предоставления или запрета доступа.
Это настолько небезопасно, что любой может получить доступ к инструментам разработки и просмотреть эти данные и изменить их, просто написавпроизвольный accessToken предоставляет доступ на этом сайте ... и затем is_admin = 1 и wala.
Хорошо, это сложно ЗНАТЬ, но ... И каждый вызов API проверяет этот accessToken на бэкэнде.
Так что мы можем сделать, чтобы предотвратить это? Или, если нам нужна эта «гибкая навигация», мы не сможем защитить промежуточное ПО для навигации по маршруту?
Одно из руководств, которым я следовал:
https://scotch.io/tutorials/vue-authentication-and-route-handling-using-vue-router
НаСекция вопросов так много людей комментирует это, и их ответ таков: это демонстрация интерфейса ... но как я могу положиться на это на серверной части? Если я хочу это, каждый щелчок мышью обновляет страницу.