Безопасный способ показать / создать элемент, если пользователь является администратором

Question

Я изучал, как безопасно создавать / загружать / добавлять элементы.

В моем проекте есть административная панель, которую следует загружать только в случае, если пользователь-администратор входит в систему (это присутствует на главном веб-сайте / странице).

Из того, что я осмотрел, люди говорят, что php файлы недоступны для клиента (кроме ответа, я думаю, ), поэтому с точки зрения аутентификации у меня нет проблем.

Но после того, как запрос AJAX вернет 'true', например, мой. js файл будет иметь код для добавления или загрузки требуемый код. Поскольку клиенту показывается Javascript, злоумышленнику нужно лишь быстро взглянуть на него, чтобы увидеть, что ему нужно ввести, чтобы получить доступ к этой панели (я полагаю, что это легко для опытного хакера).

Как я могу скрыть эту информацию от клиента? Есть ли какое-то шифрование, которое я могу использовать или другой способ загрузки элемента?

PS: я понимаю, что было бы безопаснее создать страницу администратора, чем включать ее в основной сайт, но имейте в виду, это мое последнее средство.

Answer 1

Вы правы, что потоком данных может манипулировать клиент. Но это правильно. Когда он пытается просмотреть данные на этой панели, вам необходимо промежуточное программное обеспечение на стороне php, которое проверяет каждый запрос на AJAX, проверяется ли он на наличие данных. Если не ваш сервис возвращает, например, 401 или 403. При этом он может не более, чем увидеть панель без данных. Таким образом, ваш сервер должен при каждом запросе проверять, аутентифицирован ли он. Например, вы можете искать в сеансе или в заголовке, если потребитель аутентифицирован. Это обычный способ.