Laravel Vue SPA проект небезопасного промежуточного программного обеспечения localalstorage - PullRequest
0 голосов
/ 14 октября 2019

Я пытаюсь создать SPA с аутентификацией и ролями. Я читал много учебных пособий, в которых объясняется, как это сделать, и все говорят одну и ту же стратегию:

Сохраните разрешения для localalstorage, например, accessToken и is_admin = 0 | 1. Поэтому, когда вы входите в систему, ответ сервера заполняет эти данные.

Тогда маршрутизация vue просто проверяет эти 2 поля на предмет предоставления или запрета доступа.

Это настолько небезопасно, что любой может получить доступ к инструментам разработки и просмотреть эти данные и изменить их, просто написавпроизвольный accessToken предоставляет доступ на этом сайте ... и затем is_admin = 1 и wala.

Хорошо, это сложно ЗНАТЬ, но ... И каждый вызов API проверяет этот accessToken на бэкэнде.

Так что мы можем сделать, чтобы предотвратить это? Или, если нам нужна эта «гибкая навигация», мы не сможем защитить промежуточное ПО для навигации по маршруту?

Одно из руководств, которым я следовал:

https://scotch.io/tutorials/vue-authentication-and-route-handling-using-vue-router

НаСекция вопросов так много людей комментирует это, и их ответ таков: это демонстрация интерфейса ... но как я могу положиться на это на серверной части? Если я хочу это, каждый щелчок мышью обновляет страницу.

1 Ответ

0 голосов
/ 15 октября 2019

SPA будет загружаться только один раз. После этого навигация обрабатывается внешним интерфейсом. Однако данные, необходимые для следующей страницы, загружаются с помощью ajax из серверной части. Это означает, что вы все равно можете проверить доступ в бэкэнде, прежде чем предоставлять данные, которые хотите защитить.

...