Безопасно ли использовать условный рендеринг для личных данных в ответ только авторизованным пользователям?

Question

Я создаю приложение реагирования и настроил сервер API в узле для аутентификации пользователей (я использую JSON веб-токены для постоянного доступа и MongoDB в качестве базы данных для справки). Поэтому я задавался вопросом, будет ли безопасно хранить состояние в редуксе, например "isLoggedIn", для использования в качестве ссылки для выполнения условного рендеринга. Сначала я думал, что эта информация будет опубликована c, если потенциальному злоумышленнику удастся изменить состояние избыточности «isLoggedIn» на «истина», потому что реакция не отображается на сервере. Это правда в реакции?

Answer 1

Состояние isLoggedIn в порядке. Ваш бэкэнд должен быть защищен от запросов пользователей, которые в любом случае не вошли в систему, поэтому вы не должны отображать конфиденциальные данные.

Если злоумышленнику удалось изменить состояние isLoggedIn, ему все равно нужно сделать необходимые запросы API для просмотра конфиденциальной информации. Эти запросы API должны быть защищены JWT, который вы сгенерировали при входе в систему.

Answer 2

Ваш сервер никогда не должен отправлять конфиденциальную информацию неаутентифицированному клиенту. Как только клиент получит информацию, злоумышленник может изменить код реагирования или даже просмотреть информацию, сохраненную в «состоянии», с помощью браузера dev-tools